Manual SP

Pgina 1
Proyecto AMPARO: www.proyectoamparo.net

Fortalecimiento de la Capacidad Regional de Atencin de Incidentes de Seguridad en Amrica Latina y el Caribe

Proyecto AMPARO

Manual:
GESTIN DE INCIDENTES DE
SEGURIDAD INFORMTICA

AMRICA LATINA Y CARIBE

Pgina 2

Consideraciones Iniciales
El presente manual ha sido desarrollado en el marco de las actividades del Pro-
yecto AMPARO, una iniciativa de LACNIC con el apoyo de IDRC de Canad.
El proceso de creacin del mismo ha implicado un gran esfuerzo por parte de un
equipo de expertos en el manejo de incidentes de seguridad, acadmicos de di-
versos pases de la regin, de alto reconocimiento nacional e internacional y
personal de LACNIC, e IDRC, con los que nos ha tocado vivir esta primera fase
del Proyecto.
A todos ellos un inmenso agradecimiento, porque han hecho posible la creacin
del primer Manual de Gestin de Incidentes de Seguridad Informtica, que ser
puesto a consideracin de la comunidad tcnica de Amrica Latina y el Caribe.
El material que se ha desarrollado consta del presente Manual, varios Talleres
de simulacin de casos, Presentaciones y otros documentos, los que sern so-
metidos de ahora en ms a un proceso de mejora continua, en el cual espera-
mos una alta participacin e involucramiento de los excelentes tcnicos de segu-
ridad que la Regin dispone.
Asimismo el Proyecto AMPARO, en conjunto con muchas otras organizaciones
que se han acercado a colaborar, realizar una serie de Talleres de Entrena-
miento Regionales, en los que ste conjunto documental ser la base de difusin
para los instructores expertos en gestin de incidentes. Estamos plenamente
convencidos que tenemos por delante un gran desafo an, que es la difusin
del contenido desarrollado, a las personas que lo necesitan, aquellas que di-
ariamente estn gestionando incidentes de seguridad en las organiza-ciones de
la regin.
Finalmente es necesario tambin agradecer el gran apoyo recibido por parte del
personal de LACNIC, que ha sido fundamental.
Msc. Ing. Eduardo Carozo Blusmztein, CIS
Director Proyecto AMPARO

Pgina 3

Autores del Manual de Gestin de Incidentes de Seguridad Informtica
Ing. Rubn Aquino Luna, MEXICO
Ing. J os Luis Chvez Cortez, GUATEMALA
Ing. Leonardo Vidal, URUGUAY
Ing. Lorena Ferreyro, ARGENTINA
Ec. Ara Alvez Bou, URUGUAY
Msc. Ing. Eduardo Carozo, URUGUAY
Autores de los Talleres de Gestin de Incidentes
Ing. Gastn Franco, ARGENTINA
Ing. Carlos Martinez, URUGUAY
Ing. Alejandro Hevia, CHILE
Ing. Felipe Troncoso, CHILE
Dr. J eimy Cano, COLOMBIA
Ing. Andres Almanza, COLOMBIA
Integrantes del Steering Committe del Proyecto AMPARO
Dr. Ing. Cristine Hoeppers, BRASIL
Ing. Patricia Prandini, ARGENTINA
Ing. Indira Moreno, MEXICO
Ing. J os Luis Chvez Cortez, GUATEMALA
Dr. Ing. Alejandro Hevia, CHILE
Ing. Pablo Carretino, ARGENTINA
Dr. J eimy Cano, COLOMBIA

Pgina 4

Revisin Histrica
Nombre Fecha Descripcin de la Revisin Versin
J os Luis Chvez Cortez 7/03/10 Integracin Inicial 1.1
Rubn Aquino Luna 9/03/10 Revisin del contenido y su indizacin en el documento. 1.1
Leonardo Vidal 9/03/10 Revisin del contenido y su indizacin en el documento. 1.1
Lorena Ferreyro 9/03/10 Revisin del contenido y su indizacin en el documento. 1.1
Ara Alvez Bou 9/03/10 Revisin del contenido y su indizacin en el documento. 1.1
Eduardo Carozo 17/03/10 Revisin sobre la integracin final del documento. 1.1

Pgina 5

ndice General
CAPITULO 1
LINEAMIENTOS Y ACCIONES RECOMENDADAS PARA LA FORMACIN DE UN CENTRO DE RESPUESTA A
INCIDENTES DE SEGURIDAD INFORMTICA

1. LINEAMIENTOS Y ACCIONES RECOMENDADAS PARA LA FORMACIN DE UN CENTRO
DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMTICA 15
1.1 RECOMENDACIONES ORGANIZACIONALES Y NORMATIVAS PARA LA INTEGRACIN DE UN CSIRT EN LA
ORGANIZACIN ........................................................................................................................................................ 15
1.1.1 Informacin bsica inici al ............................................................................................................. 15
1.1.1.1 Introduccin ............................................................................................................................................... 15
1.1.1.2 Qu se protege con un CSIRT? ................................................................................................................. 16
1.1.1.3 Alcance ....................................................................................................................................................... 17
1.1.1.3.1 Publicando Polticas y Procedimientos CSIRT ........................................................................ 17
1.1.1.3.2 Relaciones entre diferentes CSIRTs ........................................................................................... 18
1.1.1.3.3 Estableciendo medios de comunicacin seguros .................................................................. 19
1.1.1.4 Manejo de informacin, Procedimientos y Polticas .................................................................................. 20
1.1.1.4.1 Descripcin de Histrico de Actualizacin del Documento ................................................. 20
1.1.1.4.2 Informacin de Contacto ............................................................................................................... 21
1.1.1.4.3 Descripcin del CSIRT .................................................................................................................... 21
1.1.1.4.4 Polticas .............................................................................................................................................. 22
1.1.1.4.5 Servicios ............................................................................................................................................ 25
1.1.1.4.6 Formas de Notificacin de Incidentes ........................................................................................ 26
1.1.1.4.7 Clausula ............................................................................................................................................. 27
1.1.1.5 Personal que integra un CSIRT ................................................................................................................... 27
1.1.2 Polticas de Seguridad Informtica ............................................................................................ 28
1.1.2.1 Definicin ................................................................................................................................................... 29
1.1.2.2 Elementos .................................................................................................................................................. 29
1.1.2.3 Parmetros para su establecimiento ......................................................................................................... 30
1.1.2.4 Razones que impiden su aplicacin ........................................................................................................... 30
1.1.2.5 Implementacin, Mantenimiento y Ejecucin ........................................................................................... 31
1.1.2.6 Polticas recomendadas ............................................................................................................................. 31
1.1.3 Gestin de Incidentes .................................................................................................................... 37
1.1.3.1 Nivel de Prioridad ...................................................................................................................................... 39
1.1.3.2 Escalonamiento .......................................................................................................................................... 40
1.1.3.3 Proceso ...................................................................................................................................................... 42
1.1.3.4 Registro ...................................................................................................................................................... 43
1.1.3.5 Clasificacin ............................................................................................................................................... 43
1.1.3.6 Anlisis, Resolucin y Cierre. ..................................................................................................................... 44
1.1.3.7 Control del proceso .................................................................................................................................... 45
1.1.3.8 Soporte de Incidentes ................................................................................................................................ 46

Pgina 6

1.1.4 Recomendaciones para l a posible insercin del CSIRT en la organizacin y sus
posibles modelos de rel acin .................................................................................................................... 48
1.1.4.1 Modelos organizacionales CSIRT ................................................................................................................ 49
1.1.4.2 Estudio Organizacional ............................................................................................................................... 52
1.1.4.3 Tipos de estructuras organizacionales ....................................................................................................... 54
1.1.4.3.1 Modelo Funcional ............................................................................................................................ 54
1.1.4.3.2 Modelo Basado en el Producto .................................................................................................... 55
1.1.4.3.3 Basada en los clientes ................................................................................................................... 56
1.1.4.3.4 Hbrida ................................................................................................................................................ 57
1.1.4.3.5 Matricial .............................................................................................................................................. 59
1.2 RECOMENDACIONES GENERALES RESPECTO DE LA INFRAESTRUCTURA FSICA NECESARIA EN LAS
ETAPAS INICIALES ................................................................................................................................................... 60
1.2.1 Recomendaciones de Seguridad Fsi ca y Ambiental ............................................................ 61
1.2.1.1 Local Fsico ................................................................................................................................................. 61
1.2.1.2 Espacio y Movilidad ................................................................................................................................... 61
1.2.1.3 Tratamiento Acstico ................................................................................................................................. 61
1.2.1.4 Ambiente Climtico .................................................................................................................................... 61
1.2.1.5 Instalacin Elctrica ................................................................................................................................... 61
1.2.1.6 Picos y Ruidos Electromagnticos .............................................................................................................. 62
1.2.1.7 Cableado .................................................................................................................................................... 62
1.2.1.7.1 Cableado de Alto Nivel de Seguridad .................................................................................... 63
1.2.1.7.2 Pisos de Placas Extrables ......................................................................................................... 63
1.2.1.7.3 Sistema de Aire Acondicionado ................................................................................................... 63
1.2.1.7.4 Emisiones Electromagnticas ...................................................................................................... 63
1.2.1.8 Iluminacin ................................................................................................................................................ 63
1.2.1.9 Seguridad Fsica del Local ........................................................................................................................... 63
1.2.1.10 Prximos pasos .......................................................................................................................................... 64
1.2.1.10.1 Aseguramiento Contra Situaciones Hostiles .......................................................................... 64
1.2.1.10.2 Control de Accesos ....................................................................................................................... 64
1.2.1.11 Conclusiones .............................................................................................................................................. 64
1.2.2 Recomendaciones sobre la arquitectura de redes de un CSIRT ........................................ 64
1.2.2.1 Ambiente Fsico .......................................................................................................................................... 65
1.2.2.2 Infraestructura de Red ............................................................................................................................... 66
1.2.2.3 Hardware ................................................................................................................................................... 66
1.2.2.4 Software ..................................................................................................................................................... 67
1.2.2.5 Infraestructura de Telecomunicaciones ..................................................................................................... 68
1.2.2.6 Diagramas Sugeridos .................................................................................................................................. 69
1.2.2.6.1 Esquema Uno: Red Bsica Segura ............................................................................................. 69
1.2.2.6.2 Esquema Dos: Red Segura Redundante ................................................................................... 70
1.2.2.6.3 Esquema Tres: Red Segura Segmentada y Redundante ....................................................... 71
1.2.2.6.4 Esquema Cuatro: Red Segura Segmentada Separada de la Organizacin ...................... 72
1.2.3 Servicios informti cos ini ciales de un CSIRT ......................................................................... 73
1.2.3.1 Servicios CSIRT ........................................................................................................................................... 73
1.2.3.2 Servicios informticos de un CSIRT ............................................................................................................ 74
1.2.3.2.1 Aplicaciones que apoyan la implementacin de los servicios informticos CSIRT ...... 76
1.3 BENEFICIOS EN LA IMPLEMENTACIN DE UN CSIRT AS COMO SU ANLISIS SITUACIONAL E
IMPLEMENTACIN DE SU PRESUPUESTO DE INVERSIN Y FUNCIONAMIENTO ...................................................... 86
1.3.1 Beneficios en l a implementacin de un CSIRT ....................................................................... 86
1.3.2 Anlisi s FODA General para un CSIRT ..................................................................................... 87

Pgina 7

1.3.3 Creacin de un Presupuesto Preliminar de Inversin y Funcionami ento ....................... 88
1.4 CONCLUSIONES .................................................................................................................................................. 90

CAPITULO 2
MODELOS ORGANIZACIONALES DE CENTROS DE RESPUESTA A INCIDENTES

2. MODELOS ORGANIZACIONALES DE CENTROS DE RESPUESTA A INCIDENTES 93
2.1 MODELOS DE REFERENCIA ....................................................................................................................... 93
2.1.1 Equipo de seguridad ...................................................................................................................... 93
2.1.2 Equipo de respuesta a incidentes centralizado. ..................................................................... 94
2.1.3 Equipos de respuesta a i ncidentes di stribuidos. ................................................................... 94
2.1.4 Equipo coordinador. ...................................................................................................................... 94
2.2 CENTROS DE RESPUESTA EXISTENTES .................................................................................................... 95
2.3 NOMBRE DEL CENTRO DE RESPUESTA ..................................................................................................... 95
2.4 LA CIRCUNSCRIPCIN DEL CENTRO DE RESPUESTA ................................................................................ 96
2.5 MISIN DEL CENTRO DE RESPUESTA. ...................................................................................................... 96
2.6 SERVICIOS PRINCIPALES .......................................................................................................................... 96
2.6.1 Emisin de boletines y al ertas de seguridad .......................................................................... 97
2.6.2 Anlisi s de vulnerabilidades ........................................................................................................ 97
2.6.3 Deteccin de incidentes ................................................................................................................ 97
2.6.4 Difusin y capacitacin ................................................................................................................. 97
2.6.5 Implementacin de mejores prcticas ...................................................................................... 98
2.7 REPORTE, CLASIFICACIN, ASIGNACIN .................................................................................................. 98
2.8 AUTORIDAD ............................................................................................................................................... 99
2.9 PERSONAL DEL CENTRO DE RESPUESTA .............................................................................................. 100
2.9.1 Empleados ...................................................................................................................................... 101
2.9.2 Parcialmente empleados ............................................................................................................. 102
2.9.3 Outsourcing .................................................................................................................................... 102
2.10 SELECCIN DEL MODELO DE CENTRO DE RESPUESTA .......................................................................... 102
2.10.1 Costos ......................................................................................................................................... 103
2.10.2 Experiencia del personal ........................................................................................................ 103
2.10.3 Estructura organizacional ...................................................................................................... 103
2.10.4 Divisin de responsabil idades ............................................................................................. 104
2.10.5 Proteccin de informacin confidencial ............................................................................ 104
2.10.6 Falta de conocimiento especfico sobre l a organizacin .............................................. 104
2.10.7 Falta de correlacin de informacin ................................................................................... 105
2.10.8 Manejo de incidentes en diversas ubi caciones geogrficas ........................................ 105
2.11 DEPENDENCIAS DENTRO DE LAS ORGANIZACIONES .............................................................................. 105
2.11.1 Administracin ......................................................................................................................... 106
2.11.2 Seguridad de l a informaci n ................................................................................................. 106
2.11.3 Telecomunicaciones ............................................................................................................... 106
2.11.4 Soporte tcnico ........................................................................................................................ 106
2.11.5 Departamento jurdi co ............................................................................................................ 106
2.11.6 Relaciones pbli cas e institucionales (comuni cacin social ) ..................................... 107
2.11.7 Recursos humanos .................................................................................................................. 107

Pgina 8

2.11.8 Planeacin de la continuidad del negocio ......................................................................... 107
2.11.9 Seguridad fsica y admini stracin de instal aciones ....................................................... 107
2.12 EQUIPO DE RESPUESTA ......................................................................................................................... 107
2.12.1 Descripcin general ................................................................................................................ 107
2.12.2 Caractersticas particulares .................................................................................................. 108
2.12.3 Servicios ..................................................................................................................................... 108
2.12.4 Recursos .................................................................................................................................... 109
2.12.5 Ventajas y desventajas ........................................................................................................... 109
2.13. EQUIPO DE RESPUESTA A INCIDENTES CENTRALIZADO ......................................................................... 110
2.13.1 Descripcin General ................................................................................................................ 110
2.13.3 Servicios ..................................................................................................................................... 110
2.13.4 Recursos .................................................................................................................................... 111
2.14. EQUIPO DE RESPUESTA A INCIDENTES DISTRIBUIDO ............................................................................. 112
2.14.3 Servicios ..................................................................................................................................... 113
2.14.4 Recursos .................................................................................................................................... 114
2.15. CENTRO COORDINADOR ........................................................................................................................ 115
2.15.3 Servicios ..................................................................................................................................... 116
2.15.4 Recursos .................................................................................................................................... 117

CAPITULO 3.1
PROPUESTA DE ESPECIALIZACIN DE FUNCIONES EN EL INTERIOR DE UN CENTRO DE RESPUESTA A INCIDENTES
INFORMTICOS

3.1 SEGREGACIN DE FUNCIONES .............................................................................................................. 121
3.1.1 Introduccin ................................................................................................................................... 121
3.1.2 Las funciones ................................................................................................................................ 122
3.1.3 Descripcin de las Funci ones ................................................................................................... 123
3.1.3.1 Directorio ................................................................................................................................................. 123
3.1.3.2 Director Ejecutivo .................................................................................................................................... 124
3.1.3.3 Comit Ejecutivo ...................................................................................................................................... 125
3.1.3.4 Gerente Operacional ................................................................................................................................ 127
3.1.3.5 Difusin .................................................................................................................................................... 128
3.1.3.6 Infraestructura ......................................................................................................................................... 129
3.1.3.7 Triage ....................................................................................................................................................... 130
3.1.3.8 Documentacin ........................................................................................................................................ 131
3.1.3.9 Capacitacin y Entrenamiento ................................................................................................................. 132
3.1.3.10 Logstica ................................................................................................................................................... 132
3.1.3.11 Investigacin ............................................................................................................................................ 132

Pgina 9

3.1.3.12 Legal ......................................................................................................................................................... 133
3.1.3.13 Gestin de Incidentes .............................................................................................................................. 133
3.1.3.14 Embajadores ............................................................................................................................................ 134
3.1.3.15 Formacin Continua ................................................................................................................................. 134
3.1.3.16 Financiero y Econmico ........................................................................................................................... 135
3.1.3.17 Consideraciones finales ........................................................................................................................... 135
3.1.4 Manuales y Procedimi entos ....................................................................................................... 136
3.1.4.1 Motivacin ............................................................................................................................................... 136
3.1.4.2 Manuales ................................................................................................................................................. 136
3.1.4.3 Procedimientos ........................................................................................................................................ 137
3.1.4.4 Criterios de elaboracin de Manuales ..................................................................................................... 137
3.1.4.5 Criterios de elaboracin de Procedimientos ............................................................................................ 138
3.1.4.6 Difusin de Manuales .............................................................................................................................. 138
3.1.4.7 Difusin de Procedimientos ..................................................................................................................... 139
3.1.5 Diseo de un Flujograma del Proceso de Gestin de Incidentes, end to end .............. 140
3.1.5.1 El Ciclo de Vida de un Incidente de Seguridad ......................................................................................... 140
3.1.5.2 Evento o Incidente de Seguridad de la Comunidad Objetivo? ............................................................... 141
3.1.5.3 Gestin de Incidente de Seguridad .......................................................................................................... 142

CAPITULO 3.2
PROPUESTA DE POLTICAS Y PROCEDIMIENTOS PRINCIPALES PARA LA OPERACIN DE UN CENTRO DE
RESPUESTA

3.2.1 Propuesta de Cdigo de tica ................................................................................................... 145
3.2.1.1 Definiciones ............................................................................................................................................. 145
3.2.1.2 tica, personas y ley ................................................................................................................................. 145
3.2.1.3 Objetivos de un Cdigo de tica .............................................................................................................. 146
3.2.1.4 Lineamientos generales para la elaboracin de un Cdigo de tica ........................................................ 146
3.2.1.5 Valores morales ....................................................................................................................................... 146
3.2.1.6 Texto de la Propuesta de Cdigo de tica ................................................................................................ 147
3.2.1.6.1 Objetivo ............................................................................................................................................ 147
3.2.1.6.2 Alcance ............................................................................................................................................. 147
3.2.1.6.3 Definiciones .................................................................................................................................... 147
3.2.1.6.4 Contenido ........................................................................................................................................ 147
3.2.1.6.5 Cumplimiento .................................................................................................................................. 149
3.2.2 Propuesta de Poltica de Seguridad Lgica ........................................................................... 149
3.2.2.1 Motivacin ............................................................................................................................................... 149
3.2.2.2 Texto de la Propuesta de Poltica de Seguridad Lgica ............................................................................ 149
3.2.2.2.1 Objetivo ............................................................................................................................................ 150
3.2.2.2.2 Alcance ............................................................................................................................................. 150
3.2.2.2.3 Contenido ........................................................................................................................................ 150
3.2.3 Propuesta de Poltica de Seguridad Fsi ca y Ambiental ..................................................... 152
3.2.3.1 Motivacin ............................................................................................................................................... 152
3.2.3.2 Consideraciones previas .......................................................................................................................... 152
3.2.3.3 Texto de la Propuesta de Poltica de Seguridad Fsica y Ambiental ......................................................... 154
3.2.3.3.1 Objetivo ............................................................................................................................................ 154

Pgina 10

3.2.3.3.2 Alcance ............................................................................................................................................. 154
3.2.3.3.3 Contenido ........................................................................................................................................ 154
3.2.4 Propuesta de Poltica de Gestin de Incidentes ................................................................... 156
3.2.4.1 Motivacin ............................................................................................................................................... 156
3.2.4.2 Consideraciones previas .......................................................................................................................... 156
3.2.4.3 La Gestin de Incidentes de Seguridad .................................................................................................... 157
3.2.4.4 Definicin de Evento e Incidente de Seguridad ....................................................................................... 158
3.2.4.5 Texto de la Propuesta de Poltica de Gestin de Incidentes .................................................................... 160
3.2.4.5.1 Objetivo ............................................................................................................................................ 160
3.2.4.5.2 Alcance ............................................................................................................................................. 160
3.2.4.5.3 Definiciones .................................................................................................................................... 160
3.2.4.5.4 Contenido ........................................................................................................................................ 160

CAPITULO 3.3
PROPUESTA DE POLTICAS DE MANEJO DE LA INFORMACIN

3.3.1 Propuesta de Poltica de Acceso a l a Informacin .............................................................. 167
3.3.1.1 Texto de la Propuesta de Poltica de Acceso a la Informacin ................................................................. 167
3.3.1.1.1 Objetivo ............................................................................................................................................ 167
3.3.1.1.2 Alcance ............................................................................................................................................. 167
3.3.1.1.3 Contenido ........................................................................................................................................ 167
3.3.2 Propuesta de Poltica de Proteccin de l a Informacin ..................................................... 168
3.3.2.1 Objetivo ................................................................................................................................................... 168
3.3.2.2 Alcance ..................................................................................................................................................... 168
3.3.2.3 Contenido ................................................................................................................................................ 168
3.3.3 Propuesta de Poltica de Difusin de la Informacin .......................................................... 170
3.3.3.1 Texto de la Propuesta de Poltica de Difusin de la Informacin ............................................................. 170
3.3.3.1.1 Objetivo ............................................................................................................................................ 170
3.3.3.1.2 Alcance ............................................................................................................................................. 170
3.3.3.1.3 Contenido ........................................................................................................................................ 170
3.3.4 Propuesta de Poltica de Guarda de l a Informacin ............................................................ 172
3.3.4.1 Texto de la Propuesta de Poltica de Guarda de la Informacin .............................................................. 172
3.3.4.1.1 Objetivo ............................................................................................................................................ 172
3.3.4.1.2 Alcance ............................................................................................................................................. 172
3.3.4.1.3 Contenido ........................................................................................................................................ 172

CAPITULO 4.1
POLTICAS DE GESTIN DE RIESGOS EN UN CENTRO DE RESPUESTA

4.1.1 Introduccin ................................................................................................................................... 176
4.1.1.1 Posibles prdidas ..................................................................................................................................... 177
4.1.1.2 Conceptos iniciales ................................................................................................................................... 177
4.1.1.2.1 Activo de informacin .................................................................................................................. 177

Pgina 11

4.1.1.2.2 Amenaza ........................................................................................................................................... 178
4.1.1.2.3 Vulnerabilidad ................................................................................................................................. 178
4.1.1.2.4 Exposicin ....................................................................................................................................... 178
4.1.1.2.5 Probabilidad de ocurrencia ......................................................................................................... 179
4.1.1.2.6 Impacto ............................................................................................................................................. 179
4.1.1.2.7 Riesgo ............................................................................................................................................... 179
4.1.1.2.8 Incidente de seguridad ................................................................................................................. 179
4.1.1.2.9 Control Contramedida - Salvaguarda .................................................................................... 179
4.1.1.3 Relacin entre conceptos ......................................................................................................................... 179
4.1.2 Proceso de gestin de riesgos .................................................................................................. 180
4.1.2.1 Poltica de gestin de riesgos ................................................................................................................... 180
4.1.2.2 La gestin de riesgos ................................................................................................................................ 180
4.1.2.2.1 Evaluacin de riesgos .................................................................................................................. 181
4.1.2.2.2 Tratamiento de riesgos ................................................................................................................ 186
4.1.2.3 Documentacin y comunicacin .............................................................................................................. 187
4.1.2.4 Mejora continua ...................................................................................................................................... 188

CAPITULO 4.2
GESTIN DE RECURSOS HUMANOS EN UN CSIRT

4.2.1 Introduccin ................................................................................................................................... 191
4.2.2 Importancia del Capital Humano y la Gestin de sus riesgos .......................................... 191
4.2.3 Medidas preventivas de l os riesgos asociados a l as personas ....................................... 192
4.2.4 Gestin del Personal de un CSIRT ........................................................................................... 193
4.2.4.1 Consideraciones generales ...................................................................................................................... 193
4.2.4.2 Capacitacin ............................................................................................................................................. 195
4.2.4.3 Motivacin y Retencin del Staff ............................................................................................................. 196
4.2.4.4 Mecanismos de Proteccin del Personal ................................................................................................. 197
4.2.5 Poltica Gestin de Riesgos RRHH del CSIRT ...................................................................... 199
4.2.5.1 Objetivo ................................................................................................................................................... 199
4.2.5.2 Alcance ..................................................................................................................................................... 199
4.2.5.3 Proceso Gestin de Riesgos ..................................................................................................................... 199
4.2.5.4 Roles y Responsabilidades ....................................................................................................................... 201
4.2.5.5 Plan de Contingencia frente a Errores Humanos ..................................................................................... 202
4.2.6 Procedimientos asoci ados al Personal del CSIRT ............................................................... 202
4.2.6.1 Procedimiento de Seleccin del Personal del CSIRT ................................................................................ 202
4.2.6.2 Procedimiento de Vinculacin del Personal al CSIRT ............................................................................... 204
4.2.6.3 Procedimiento de Proteccin de Identidad de los miembros del CSIRT .................................................. 205
4.2.6.4 Procedimiento de Desvinculacin del Personal al CSIRT .......................................................................... 206
4.2.7 Anexos ............................................................................................................................................. 207
4.2.7.1 Perfiles requeridos ................................................................................................................................... 208
4.2.7.1.1 Nivel Gerencial ............................................................................................................................... 208
4.2.7.1.2 Nivel Tcnico .................................................................................................................................. 209
4.2.7.2 Plan de capacitacin para los miembros del CSIRT .................................................................................. 211
4.2.7.3 Modelo Compromiso de Confidencialidad ............................................................................................... 213
4.2.7.4 Evaluaciones del Personal ........................................................................................................................ 215

Pgina 12

4.2.7.5 Modelo de Acta de Desvinculacin Laboral ............................................................................................. 216
4.2.7.6 Modelo de Registro de riesgos ................................................................................................................. 217
5. TERMINOLOGA 218
6. BIBLIOGRAFA 224
7. ANEXOS 227

Pgina 13

CAPITULO 1

Lineamientos y Acciones Re-
comendadas para la Forma-
cin de un Centro de Res-
puesta a Incidentes de Segu-
ridad Informtica

Pgina 14

Informacin del Captulo 1

NOMBRE DOCUMENTO: Lineamientos y acciones recomendadas para la
formacin de un centro de respuesta a incidentes de
seguridad informtica.

FECHA DE CREACIN: Guatemala, 16 de Septiembre de 2009.

AUTOR: Ing. J os Luis Chvez Cortez

AUTORIZADO POR: Ing. Eduardo Carozo

VERSIN DOCUMENTO: 1.0

TIPO DE DOCUMENTO: CONFIDENCIAL

Pgina 15

1. Lineamientos y acciones recomendadas para la formacin de un centro de
respuesta a incidentes de seguridad informtica
1.1 Recomendaciones organizacionales y normativas para la integracin de un
CSIRT en la organizacin
A continuacin se presenta un marco de informacin que tiene total vinculacin con el proceso
organizacional y normativo para la integracin de un CSIRT en una organizacin.

Inicia con la descripcin de la informacin bsica que debemos saber sobre un CSIRT, pasan-
do luego por las definiciones de las polticas de seguridad informticas, gestin de incidentes y
recomendaciones de posibles escenarios de insercin dentro de la organizacin.

1.1.1 Informacin bsica inicial
En el pasado ha habido equivocaciones que se han producido respecto a qu esperar de un
CSIRT. El objetivo de esta seccin es proporcionar un marco para la presentacin de los te-
mas ms importantes (relacionados con la respuesta de incidentes) que son de inters.

1.1.1.1 Introduccin
Antes de continuar, es importante comprender claramente lo que se entiende por el trmino
"Equipo de Respuesta a Incidentes de Seguridad Informtica". Para los propsitos de este do-
cumento, un CSIRT es un equipo que ejecuta, coordina y apoya la respuesta a incidentes de
seguridad que involucran a los sitios dentro de una comunidad definida. Cualquier grupo que
se autodenomina un CSIRT debe reaccionar a incidentes de seguridad reportados as como a
las amenazas informticas de su comunidad.

Puesto que es vital que cada miembro de una comunidad sea capaz de entender lo que es ra-
zonable esperar de su equipo, un CSIRT debe dejar claro que pertenece a su comunidad y de-
finir los servicios que el equipo ofrece. Adems, cada CSIRT debe publicar sus polticas y pro-
cedimientos de operacin. Del mismo modo, estos mismos componentes necesitan saber qu
se espera de ellos para que puedan recibir los servicios de su equipo. Esto requiere que el
equipo tambin publique cmo y dnde reportar los incidentes.

Se detalla la informacin que debe tener en un documento base que ser utilizada por un
CSIRT para comunicar datos relevantes de informacin a sus integrantes. Los componentes
de seguridad ciertamente deben esperar que un CSIRT les preste los servicios que describen
en la plantilla completa. Es preciso enfatizar que sin la participacin activa de los usuarios, la
eficacia de los servicios de un CSIRT puede ser disminuido considerablemente. Este es parti-
cularmente el caso con los informes. Como mnimo, los usuarios necesitan saber que deben
informar los incidentes de seguridad, saber cmo y dnde deben reportarlos.

Muchos incidentes de seguridad informtica se originan fuera de los lmites de la comunidad
local y afectan a los sitios en el interior, otros se originan dentro de la comunidad local y afectan
a los anfitriones o los usuarios en el exterior. A menudo, el manejo de incidentes de seguridad

Pgina 16

requerir varios sitios y un CSIRT para la resolucin de casos que requieran este nivel de cola-
boracin. Las comunidades necesitan saber exactamente cmo su CSIRT estar trabajando
con otros CSIRTs y organizaciones fuera de sus comunidades, y qu informacin ser compar-
tida.

El resto de esta seccin describe el conjunto de temas y cuestiones que un CSIRT necesita
elaborar para sus integrantes. Sin embargo, no se trata de especificar la respuesta "correcta" a
cualquier rea de un tema. Ms bien, cada tema se discute en trminos de lo que este signifi-
ca.

Tambin se presenta un panorama general de las tres reas principales:

La publicacin de la informacin por un equipo de respuesta.

La definicin de respuesta del equipo con relacin a la respuesta de otros equipos.

Y, la necesidad de comunicaciones seguras.

Para concluir con la descripcin en detalle de todos los tipos de informacin que la comunidad
necesita saber acerca de su equipo de respuesta.

1.1.1.2 Qu se protege con un CSIRT?
Un equipo de respuesta debe de tener como objetivo proteger infraestructuras crticas de la in-
formacin, en base al segmento de servicio al que est destinado as deber de ser su alcance
para cubrir requerimientos de proteccin sobre los servicios que brinda. El CSIRT debe de
brindar servicios de seguridad a las infraestructuras crticas de su segmento bsicamente.

Las infraestructuras crticas en un pas estn distribuidas en grandes sectores, los cuales pue-
den ser:

Agricultura.

Energa.

Transporte.

Industrias.

Servicios Postales.

Suministros de Agua.

Salud Pblica.

Telecomunicaciones.

Banca / Finanzas.

Pgina 17

Gobierno.

Mientras que las infraestructuras de informacin estn segmentadas de la siguiente manera:

Internet: servicios Web, Hosting, correo electrnico, DNS, etc.

Hardware: servidores, estaciones de trabajo, equipos de red.

Software: sistemas operativos, aplicaciones, utilitarios.

Sistemas de Control: SCADA, PCS/DCS.

1.1.1.3 Al cance
Las interacciones entre un equipo de respuesta a incidentes y los integrantes del equipo de
respuesta de la comunidad requieren:

Que la comunidad entienda las polticas y los procedimientos del equipo de respuesta.

Que muchos equipos de respuesta colaboran para manejar incidentes, la comunidad
tambin debe entender la relacin entre su equipo de respuesta y otros equipos.

Y por ltimo, muchas interacciones se aprovecharn de las infraestructuras pblicas
existentes, de modo que la comunidad necesita saber cmo las comunicaciones sern
protegidas.

Cada uno de estos temas se describe con ms detalle a continuacin.

1.1.1.3.1 Publicando Polticas y Procedimientos CSIRT
Cada usuario que tiene acceso a un Equipo de Respuesta a Incidentes de Seguridad Cibernti-
ca debe saber tanto como sea posible sobre los servicios e interacciones de este equipo mucho
antes de que l o ella en realidad los necesiten.

Una declaracin clara de las polticas y procedimientos de un CSIRT ayuda al integrante a
comprender la mejor manera de informar sobre los incidentes y qu apoyo esperar despus.
El CSIRT ayudar a resolver el incidente? Va a proporcionar ayuda a evitar incidentes en el
futuro? Claro que las expectativas, en particular de las limitaciones de los servicios prestados
por un CSIRT, harn que la interaccin sea ms eficiente y efectiva.

Existen diferentes tipos de equipos de respuesta, algunos grupos son muy amplios (por ejem-
plo, CERT Centro de Coordinacin de Internet), otros grupos ms limitados (por ejemplo, DFN-
CERT, CIAC), y otras tienen grupos muy restringidos (por ejemplo, equipos de respuesta co-
mercial, equipos de respuesta corporativos). Independientemente del tipo de equipo de res-
puesta, la comunidad debe de apoyar el estar bien informados sobre las polticas de su equipo

Pgina 18

y procedimientos. Por lo tanto, es obligatorio que los equipos de respuesta publiquen esa in-
formacin.

Un CSIRT debe comunicar toda la informacin necesaria acerca de sus polticas y servicios en
una forma adecuada a las necesidades de sus integrantes. Es importante comprender que no
todas las polticas y procedimientos deben ser accesibles al pblico. Por ejemplo, no es nece-
sario entender el funcionamiento interno de un equipo con el fin de interactuar con l, como
cuando se informa de un incidente o recibir orientacin sobre cmo analizar y asegurar uno de
los sistemas.

En el pasado, algunos de los equipos suministraban en una especie de Marco Operacional,
otras proporcionaban una lista de Preguntas Frecuentes (FAQ), mientras que otros escribieron
documentos para su distribucin en conferencias de usuarios o boletines enviados.

Recomendamos que cada CSIRT publique sus directrices y procedimientos en su propio servi-
dor de informacin (por ejemplo, un servidor de World Wide Web). Esto permitira a los inte-
grantes acceder fcilmente a ella, aunque el problema sigue siendo cmo una persona puede
encontrar su equipo, la gente dentro de la comunidad tiene que descubrir que hay un CSIRT a
su disposicin".

Se prev que las plantillas de informacin de un CSIRT pronto se convertirn en resultados de
bsquedas por los distintos motores de bsqueda modernos, lo que ayudar en la distribucin
de informacin sobre la existencia del CSIRT y la informacin bsica necesaria para acercarse
a ellos.

Independientemente de la fuente de la que se recupera la informacin, el usuario de la plantilla
debe comprobar su autenticidad. Es altamente recomendable que esos documentos vitales
sean protegidos por firmas digitales. Esto permitir al usuario verificar que la plantilla fue de
hecho publicada por el CSIRT y que no ha sido manipulada (se asume que el lector est fami-
liarizado con el uso adecuado de las firmas digitales para determinar si un documento es autn-
tico).

1.1.1.3.2 Relaciones entre diferentes CSIRTs
En algunos casos, un CSIRT puede ser capaz de operar eficazmente por s mismo y en estre-
cha colaboracin con sus integrantes. Pero con las redes internacionales de hoy en da es mu-
cho ms probable que la mayora de los incidentes a cargo de un CSIRT participarn partes
externas a l. Por lo tanto, el equipo tendr que interactuar con otros CSIRTs y sitios fuera de
su comunidad.

La comunidad debe comprender la naturaleza y el alcance de esta colaboracin, como infor-
macin muy sensible acerca de los componentes individuales pueden ser divulgados en el pro-
ceso.

La colaboracin entre los CSIRTs podra incluir las interacciones al preguntarle a los otros
equipos de asesoramiento, la difusin de conocimiento de los problemas y trabajar en coopera-
cin para resolver un incidente de seguridad que afectan a uno o ms comunidades de los
CSIRTs.

Pgina 19

Al establecer relaciones de apoyo de tales interacciones, CSIRT debe decidir qu tipo de
acuerdos puede existir entre ellos para compartir, sin embargo, a salvaguardar la informacin,
si esta relacin puede ser divulgada, y si es as a quin.

Tenga en cuenta que hay una diferencia entre un acuerdo de interconexin, donde los CSIRTs
implicados estn de acuerdo para trabajar juntos y compartir la informacin y la cooperacin
simple, donde un CSIRT (o cualquier otra organizacin) simplemente pide ayuda o consejo a
otro contacto de CSIRT. Aunque el establecimiento de estas relaciones es muy importante y
afectan a la capacidad de un CSIRT en apoyo de su comunidad corresponde a los grupos im-
plicados decidir sobre los detalles especficos.

Est fuera del alcance de este documento el hacer recomendaciones para este proceso. Sin
embargo, el mismo conjunto de intercambio de informacin que se utiliza para fijar las expecta-
tivas de una comunidad de usuarios ayudar a las dems partes para comprender los objetivos
y los servicios de un CSIRT especfico para ser un punto de apoyo ante un eventual incidente.

1.1.1.3.3 Estableciendo medios de comunicacin seguros
Una vez que una de las partes ha decidido compartir informacin con otro equipo, todas las
partes implicadas necesitan garantizar canales de comunicacin seguros.

Los objetivos de la comunicacin segura son:

Confidencialidad: Puede alguien acceder al contenido de la comunicacin?

Integridad: Puede alguien manipular el contenido de la comunicacin?

Autenticidad: Estoy comunicado con la persona "correcta"?

Es muy fcil de enviar falsos e-mail, y no es difcil establecer una identidad falsa por telfono.
Las tcnicas criptogrficas, por ejemplo, PGP (Pretty Good Privacy) o PEM (Privacy Enhanced
Mail) pueden proporcionar formas eficaces de asegurar el correo electrnico, adems con el
equipo correcto, tambin es posible garantizar la comunicacin telefnica. Pero antes de utili-
zar estos mecanismos, ambas partes necesitan de la infraestructura "correcta", es decir, la pre-
paracin de antemano. La preparacin ms importante es garantizar la autenticidad de las cla-
ves criptogrficas utilizadas en la comunicacin segura:

Claves Pblicas (PGP y PEM): debido a que son accesibles a travs de Internet, las
claves pblicas deben ser autenticadas antes de ser utilizadas. PGP se basa en una
"Red de Confianza" (donde los usuarios registran las claves de otros usuarios) y PEM
se basa en una jerarqua (donde las autoridades de certificacin firman las claves de los
usuarios).

Claves Secretas (DES y PGP / cifrado convencional): debido a que estos deben cono-
cer tanto al emisor y el receptor, las claves secretas deben ser cambiadas antes de la
comunicacin a travs de un canal seguro.

La comunicacin es fundamental en todos los aspectos de respuesta a incidentes. Un equipo
puede apoyar de la mejor manera el uso de las tcnicas antes mencionadas, reuniendo toda la

Pgina 20

informacin necesaria de una manera coherente. Requisitos especficos (tales como llamar a
un nmero especfico para comprobar la autenticidad de las claves) debe quedar claro desde el
principio.

No est dentro del alcance de esta seccin el resolver los problemas tcnicos y administrativos
de las comunicaciones seguras. El punto es que los equipos de respuesta deben apoyar y uti-
lizar un mtodo que permita la comunicacin entre ellos y sus integrantes (u otros equipos de
respuesta). Cualquiera que sea el mecanismo, el nivel de proteccin que ofrece debe ser
aceptable para la comunidad que lo utiliza.

1.1.1.4 Manejo de informacin, Procedimientos y Polticas
Es muy importante que las polticas y procedimientos de un equipo de respuesta sean publica-
dos en su comunidad. En esta seccin se listan todos los tipos de informacin que la comuni-
dad necesita recibir de su equipo de respuesta. La forma de hacer llegar esta informacin a la
comunidad difiere de un equipo a otro, as como el contenido de la informacin especfica. El
objetivo aqu es describir claramente los diversos tipos de informacin que un componente de
la comunidad espera de su equipo de respuesta. Lo ms importante es que un CSIRT tenga
una poltica y que los que interactan con el CSIRT sean capaces de obtenerla y entenderla.

Este esquema debe ser visto como una sugerencia. Cada equipo debe sentirse libre para in-
cluir todo aquello que cree que es necesario para apoyar a su comunidad.

1.1.1.4.1 Descripcin de Histrico de Actualizacin del Documento
Es importante detallar que tan reciente es un documento. Adems, se recomienda proporcio-
nar informacin sobre cmo obtener informacin sobre futuras actualizaciones o cambios de
versin. Sin esto, es inevitable que los malentendidos y las ideas errneas surjan con el tiem-
po, los documentos obsoletos pueden hacer ms dao.

Se recomienda tener en cuenta los siguientes puntos:

Fecha de la ltima actualizacin: esto debera ser suficiente para permitir que cual-
quier persona interesada evalu la vigencia del documento.

Si se considera conveniente y adecuado, podra ser oportuno versionar el documento.

Lista de distribucin: las listas de correo son un mecanismo conveniente para distri-
buir informacin actualizada a un gran nmero de usuarios. Un equipo puede decidir
utilizar su propia lista o bien una ya existente para la notificacin de cambios a los usua-
rios. La lista normalmente es integrada por grupos del CSIRT con los que se tienen in-
teracciones frecuentes. Las firmas digitales se deben utilizar para enviar mensajes de
actualizacin entre CSIRTs.

Ubicacin del documento: la ubicacin de un documento debe de ser accesible a
travs de los servicios de informacin en lnea de cada equipo en particular. Los inte-
grantes de cada grupo pueden fcilmente obtener ms informacin sobre el equipo y

Pgina 21

comprobar si las actualizaciones son recientes. Esta versin en lnea tambin debera ir
acompaada de una firma digital.
1.1.1.4.2 Informacin de Contacto
Los detalles completos de cmo ponerse en contacto con el CSIRT deben describirse, aunque
esto podra ser muy diferente para los diferentes equipos. En algunos casos como ejemplo,
podran decidir no dar a conocer los nombres de los miembros de su equipo.

A continuacin se listan las piezas de informacin que son recomendables de detallar:

Nombre del CSIRT.

Direccin fsica (Ubicacin).

Direccin(es) de Correo(s) Electrnico(s).

Zona horaria: esto es til para la coordinacin de los incidentes en el cual se cruzan
zonas horarias.

Nmero de telfono y fax.

Otras telecomunicaciones: algunos equipos pueden ofrecer comunicaciones de voz
segura.

Las claves pblicas y el cifrado: el uso de tcnicas especficas depende de la capaci-
dad de los socios de comunicacin para tener acceso a los programas, claves, etc. La
informacin pertinente debe darse a manera de facilitar a los usuarios la habilitacin del
canal de comunicacin cifrado respectivo cuando interacte con el CSIRT.

Los miembros del equipo: informacin discrecional del grupo. (Si aplicase.)

Horario de atencin: el horario de funcionamiento semanal (8x5 o 7x24) y calendario
de vacaciones deber indicarse aqu.

Informacin Adicional del Contacto.

El nivel de detalle de esta informacin queda a criterio de cada grupo. Esto podra incluir dife-
rentes contactos para diversos servicios, o podra ser una lista de servicios de informacin en
lnea. Si en dado caso existen procedimientos especficos para poder acceder a cierto servicio
se recomienda que se detalle adecuadamente.
1.1.1.4.3 Descripcin del CSIRT
Cada CSIRT debe tener un documento que especifica lo que tiene que hacer y la autoridad ba-
jo la cual lo har. El documento debe incluir al menos los siguientes elementos:

Misin: debe centrarse en las actividades bsicas del equipo (definicin de un CSIRT).
Con el fin de ser considerado un Equipo de Respuesta a Incidentes de Seguridad In-
formtica, el equipo debe ser compatible con la presentacin de informes de incidentes

Pgina 22

y el apoyo de sus integrantes frente a los sucesos. Los objetivos y propsitos de un
equipo son especialmente importantes y requieren una definicin clara y sin ambige-
dades.

Comunidad: por ejemplo, podran ser empleados de una empresa o de sus suscripto-
res de pago, o podra ser definido en trminos de un enfoque tecnolgico, como los
usuarios de un sistema operativo determinado. Una comunidad CSIRT puede ser de-
terminado de varias maneras. La definicin de la comunidad debe crear un permetro
alrededor del grupo al que el equipo proporcionar el servicio. Es importante que exista
una seccin de poltica del documento, la cual debe de explicar cmo sern tratadas las
solicitudes fuera del permetro definido.

Si un CSIRT decide no revelar su comunidad, se debe explicar el razonamiento detrs
de esta decisin. Por ejemplo, si se cobrasen servicios, el CSIRT no brindar una lista
de sus clientes, sino que declarar que prestan un servicio a un gran grupo de clientes
que se mantienen en secreto debido a los contratos y clausulas de confidencialidad con
sus clientes. Las comunidades podran reservarse, como cuando un Proveedor de Ser-
vicios de Internet proporciona a un CSIRT servicios que ofrece a los sitios de clientes
que tambin tienen CSIRTs. La seccin de la Autoridad de la descripcin del CSIRT
(vase ms abajo) debe dejar claro tales relaciones.

Organizacin Patrocinadora / Afiliacin: la organizacin patrocinadora, que autoriza
las acciones del CSIRT, debe de respaldar las distintas actividades del CSIRT. Sabien-
do que esto le ayudar a los usuarios a comprender los antecedentes y la puesta en
marcha del CSIRT; es informacin vital para la construccin de confianza entre un com-
ponente y un CSIRT.

Autoridad: esta seccin puede variar mucho de un CSIRT a otro, basada en la relacin
entre el equipo y su comunidad. Mientras que una organizacin CSIRT dar su autori-
dad por la gestin de la organizacin, un comunidad CSIRT ser apoyada y elegida por
la comunidad, generalmente en un rol de asesoramiento. Un CSIRT puede o no tener
la autoridad para intervenir en el funcionamiento de todos los sistemas dentro de su
permetro. Se debe identificar el alcance de su control, a diferencia del permetro de su
comunidad. Si otros CSIRTs operan jerrquicamente dentro de su permetro, esto debe
ser mencionado aqu, y los CSIRTs relacionados identificados. La divulgacin de la au-
toridad de un equipo puede exponer a las reclamaciones de responsabilidad. Cada
equipo debe buscar consejo legal sobre estos asuntos.

1.1.1.4.4 Polticas
Es fundamental que los Equipos de Respuesta a Incidentes definan sus polticas. A continua-
cin se describen las siguientes:

Poltica de Tipos de Incidentes y Ni vel de Apoyo: los tipos de incidentes que el equi-
po sea capaz de hacer frente, y el nivel de apoyo que el equipo ofrecer al momento de
responder a cada tipo de incidente, son puntos importantes. El nivel de ayuda puede
cambiar dependiendo de factores tales como la carga de trabajo del equipo y la integri-
dad de la informacin disponible. Estos factores deberan ser descritos y sus efectos
deben ser explicados. Una lista de tipos de incidentes conocidos ser incompleta con

Pgina 23

respecto a posibles futuros incidentes, as que un CSIRT tambin debera brindar algu-
nos antecedentes "predeterminados" por el apoyo a tipos de incidentes no menciona-
dos.

El equipo debe indicar si va a actuar sobre la informacin que recibe y sus vulnerabili-
dades, mismas que crean oportunidades para futuros incidentes. Reaccionar sobre di-
cha informacin, en nombre de sus integrantes es considerado como un servicio opcio-
nal de la poltica proactiva en lugar de una obligacin de servicio bsico para un CSIRT.

Poltica de Co-operacin, Interaccin y Divul gacin de Informacin: se debe hacer
explcito que los grupos relacionados con el CSIRT habitualmente interactan. Estas in-
teracciones no estn necesariamente relacionadas con el equipo de respuesta a inci-
dentes de seguridad ciberntica, pero se utilizan para facilitar una mejor cooperacin en
temas tcnicos o de servicios. De ninguna manera se necesita detallar sobre los acuer-
dos de cooperacin entregados, el objetivo principal de esta seccin es dar a los involu-
crados una comprensin bsica de qu tipo de interacciones se han establecido y sus
propsitos.

La cooperacin entre CSIRTs puede ser facilitada por el uso de un nmero nico de
asignacin de etiquetas combinados con los procedimientos de traspaso explcito. Esto
reduce la posibilidad de malos entendidos, la duplicacin de esfuerzos, asistencia en el
seguimiento de incidentes y evitar "ciclos" en la comunicacin.

La presentacin de informes y la poltica de divulgacin deben dejar claro quines sern
los destinatarios CSIRT de un informe en cada circunstancia. Tambin debe tener en
cuenta si el equipo se espera para operar a travs de otro CSIRT o directamente con un
miembro de otra comunidad sobre las cuestiones que se refieren especficamente a ese
miembro.

Los grupos relacionados a un CSIRT van a interactuar como se enumera a continua-
cin:

o Equipos de Respuesta a Incidentes: un CSIRT a menudo necesita interactuar
con otros CSIRTs. Por ejemplo, un CSIRT dentro de una gran empresa puede
tener que informar sobre los incidentes a un CSIRT nacional, y un CSIRT nacio-
nal deber informar de los incidentes de CSIRTs nacionales en otros pases pa-
ra hacer frente a todos los sitios implicados en un ataque a gran escala. La co-
laboracin entre CSIRTs puede conducir a la divulgacin de la informacin. Los
siguientes son ejemplos de esa comunicacin, pero no pretende ser una lista
exhaustiva:

Informe de incidentes dentro de la comunidad a otros equipos. Si se hace
esto, el conocimiento de la informacin relacionada con el sitio puede ser del
conocimiento pblico, accesible a todos, en particular la prensa.

Manejo de incidentes que ocurren dentro de la comunidad, pero que informa
fuera de ella (lo que implica que algunas informaciones ya han sido divulga-
das fuera del sitio).

Pgina 24

Observaciones de informacin desde dentro de la comunidad que indica
sospecha o incidentes confirmados fuera de l.

Actuar sobre los informes de incidentes de fuera de la comunidad.

Transmisin de informacin sobre vulnerabilidades a las empresas, para so-
cios CSIRT o directamente a los sitios afectados que se encuentran dentro o
fuera de la comunidad.

Comentarios a las partes de la presentacin de informes de incidentes o
vulnerabilidades.

El suministro de informacin de contactos relativos a los miembros de la
comunidad, los miembros de otros grupos interesados, CSIRTs, o los orga-
nismos policiales.

o Empresas: algunas empresas tienen su propio CSIRT, pero otras no pueden.
En tales casos, un CSIRT necesitar trabajar directamente con una empresa pa-
ra proponer mejoras o modificaciones, para analizar el problema tcnico o para
poner a prueba las soluciones previstas. Las empresas desempean un papel
especial en el manejo de un incidente si las vulnerabilidades de sus productos
estn involucradas en el incidente.

o Los Organismos Policiales: Estos incluyen la polica y otros organismos de in-
vestigacin. CSIRT y usuarios deben ser sensibles a las leyes y reglamentos lo-
cales, los cuales pueden variar considerablemente en diferentes pases. Un
CSIRT puede asesorar sobre los detalles tcnicos de los ataques o pedir aseso-
ramiento sobre las consecuencias jurdicas de un incidente. Leyes y regulacio-
nes locales pueden incluir la presentacin de informes especficos y los requisi-
tos de confidencialidad.

o Prensa: Un CSIRT puede ser abordado por la prensa para informacin y comen-
tarios de vez en cuando. Una poltica explcita relativa a la divulgacin a la
prensa puede ser til, particularmente para aclarar las expectativas de los inte-
grantes de un CSIRT. La poltica de prensa suele ser muy sensible a los contac-
tos de prensa.

o Otros: esto podra incluir actividades de investigacin o de la relacin con la or-
ganizacin patrocinadora.

El estado predeterminado de cualquier informacin relacionada con la seguridad que un
equipo recibe por lo general ser "confidencial", pero la adherencia rgida de esto hace
que el equipo parezca ser un agujero negro de informacin. El cual puede reducir la
probabilidad de que el equipo obtenga la cooperacin de los clientes y de otras organi-
zaciones. Se hace necesario definir la informacin que se debe de informar o divulgar,
a quin, y cundo.

Los diferentes equipos pueden estar sujetos a diferentes restricciones legales que re-
quieren o restringen el acceso, especialmente si trabajan en las diferentes jurisdiccio-

Pgina 25

nes. Adems, pueden tener obligaciones de informacin impuestas por su organizacin
patrocinadora. Cada equipo debe especificar estas restricciones, tanto para aclarar las
expectativas de los usuarios y para informar a los otros equipos. Los conflictos de in-
ters, en particular en materia comercial, tambin pueden limitar la divulgacin de un
equipo.

Un equipo normalmente recoger las estadsticas. Si se distribuye la informacin es-
tadstica, la poltica de divulgacin debe decirlo, y debe describir cmo obtener esas es-
tadsticas.

Poltica de Comunicacin y Autenticacin: se debe tener una poltica que describa
los mtodos de comunicacin segura y verificable que se van a utilizar. Esto es necesa-
rio para la comunicacin entre los CSIRTs, y entre un CSIRT y sus integrantes. Se de-
ben incluir las claves pblicas para el adecuado establecimiento de comunicacin segu-
ra junto con directrices sobre cmo utilizar esta informacin para comprobar la autenti-
cidad y la forma de tratar la informacin daada (por ejemplo, donde informar de este
hecho).

Por el momento, se recomienda que como mnimo cada CSIRT tiene (si es posible), una
clave PGP disponible. Un equipo tambin puede hacer otros mecanismos disponibles
(por ejemplo, PEM, MOSS, S/MIME), de acuerdo a sus necesidades y las de sus inte-
grantes. Obsrvese, sin embargo, que un CSIRT y los usuarios deben ser sensibles a
las leyes y reglamentos locales. Algunos pases no permiten el cifrado fuerte, o hacer
cumplir las polticas especficas sobre el uso de la tecnologa de cifrado. Adems de ci-
frar la informacin sensible cuando sea posible, la correspondencia debe incluir la firma
digital. (Tenga en cuenta que en la mayora de los pases, la proteccin de la autentici-
dad mediante el uso de la firma digital no se ve afectado por las normas de encriptacin
existentes, o simplemente no existe.)

Para la comunicacin por telfono o fax un CSIRT puede mantener en secreto los datos
de autenticacin de los socios con los que puedan tratar, el uso de una contrasea o
frase puede ser un elemento definido previamente. Obviamente las claves secretas no
deben ser publicadas, aunque se sepa de su existencia.
1.1.1.4.5 Servicios
Los servicios prestados por un CSIRT pueden dividirse en dos categoras: actividades en tiem-
po real directamente relacionados con la principal tarea de respuesta a incidentes, y activida-
des proactivas no en tiempo real, de apoyo de la tarea de respuesta a incidentes. La segunda
categora y parte de la primera categora consisten en servicios que son opcionales en el senti-
do de que no todos los CSIRT los ofrecern.
1.1.1.4.5.1 Respuesta a Incidentes
La respuesta a incidentes por lo general incluye la evaluacin de los informes recibidos sobre
incidentes (Evaluacin de Incidentes) y el seguimiento de stos con otros CSIRTs, proveedores
de Internet y sitios (Coordinacin de Incidentes). Un tercer nivel de servicios, ayudando a un
sitio local para recuperarse de un incidente (Resolucin de Incidentes), est compuesto por
servicios tpicamente opcionales, que no todos los CSIRT ofrecern.

Pgina 26

Evaluacin de Incidentes: por lo general incluye:

o Informe de Evaluacin: la evaluacin de los informes de entrada de incidentes,
dando prioridad a ellos, y en relacin a los incidentes en curso y las tendencias.

o Verificacin: ayuda a determinar si un incidente ha ocurrido realmente, as como su
mbito de aplicacin.

Coordinacin de Incidentes: normalmente incluye:

o Categorizacin de la Informacin: la categorizacin de los incidentes relacionados
con la informacin (archivos de registro, informacin de contacto, etc.) con respecto
a la poltica de divulgacin de informacin.

o Coordinacin: la notificacin de las otras partes interesadas en una "necesidad de
conocimiento", segn la poltica de divulgacin de la informacin.

Resolucin de Incidentes: Normalmente adicional u opcional, el servicio de resolucin
de incidentes incluye:

o Asistencia Tcnica: esto puede incluir el anlisis de los sistemas comprometidos.

o Erradicacin: la eliminacin de la causa de un incidente de seguridad (la vulnerabi-
lidad explotada), y sus efectos (por ejemplo, la continuidad del acceso al sistema por
un intruso).

o Recuperacin: ayuda en el restablecimiento de los sistemas afectados y los servi-
cios a su estado antes del incidente de seguridad.
1.1.1.4.5.2 Acti vidades Proactivas
Normalmente opcional o adicional, los servicios proactivos podran incluir:

El suministro de Informacin: esto podra incluir un archivo de vulnerabilidades cono-
cidas, parches o resoluciones de los problemas del pasado, o listas de correo de aseso-
ramiento.

Herramientas de Seguridad: puede incluir herramientas para la auditoria de la seguri-
dad del sitio.

Educacin y Entrenamiento.

Evaluacin de Productos.

Auditora de Seguridad de la Web y Consulta.

1.1.1.4.6 Formas de Notificacin de Incidentes

Pgina 27

El uso de los formularios de informacin hace que sea ms sencillo para los usuarios y los
equipos hacer frente a incidentes. El usuario puede preparar respuestas a varias preguntas
importantes antes de que l o ella entren en contacto con el equipo, y por lo tanto pueda venir
bien preparado. El equipo recibe toda la informacin necesaria a la vez con el primer informe y
se proceda de manera eficiente.

Dependiendo de los objetivos y los servicios de un CSIRT en particular, las formas mltiples
pueden ser utilizadas, por ejemplo un formulario para una nueva vulnerabilidad puede ser muy
diferente de la forma utilizada para la comunicacin de incidentes.

Es ms eficaz proporcionar formas a travs de los servicios de informacin en lnea del equipo.
Los punteros exactos que se les debe dar en el documento de descripcin de CSIRT, junto con
las declaraciones acerca del uso adecuado, y las directrices sobre cundo y cmo utilizar los
formularios. Si por separado las direcciones de correo electrnico son compatibles con la for-
ma basada en el informe, deben ser enumeradas aqu de nuevo.
1.1.1.4.7 Clausula
Aunque el documento de descripcin CSIRT no constituye un contrato, la responsabilidad pue-
de concebirse del resultado de las descripciones de los servicios y propsitos. La inclusin de
una clausula que aclare su funcin al finalizar el documento se recomienda y debera avisar al
usuario de las posibles limitaciones.

En situaciones en que la versin original de un documento debe ser traducido a otro idioma, la
traduccin debe llevar una advertencia y un puntero a la original.

El uso y la proteccin de clausulas se ven afectadas por las leyes y regulaciones locales, de los
cuales cada CSIRT debe ser consciente. En caso de duda el CSIRT debe comprobar la decla-
racin de la clausula con un abogado.

1.1.1.5 Personal que integra un CSIRT
A continuacin se listan una serie de caractersticas que son valiosas de tomar en cuenta para
el proceso de reclutamiento de personal para la formacin de un CSIRT, siendo las siguientes:

Diversidad de conocimientos tecnolgicos.

Personalidad: habilidad de comunicacin y relacin personal.

Personas dedicadas, innovadoras, detallistas, flexibles y metdicas.

Experiencia en el rea de seguridad de la informacin

Se maneje coherentemente con los valores personales y de la organizacin.

Pueden asumir las funciones de: gerente, lder del equipo y/o supervisores. Para pues-
tos tales como:

Pgina 28

o Encargados de tratamiento de incidentes: personal tcnico que est capacitado
para el tratamiento de un incidente informtico.

o Encargados de tratamiento de vulnerabilidades: personal tcnico que est espe-
cializado en el tratamiento de deficiencias o fallos en la programacin o configura-
cin de un sistema informtico.

o Personal de anlisis y seguimiento de casos: son los responsables de llevar los
registros y brindar el seguimiento adecuado de los casos y su anlisis respectivo.

o Especialistas en plataformas operacionales: tcnicos experimentados y especia-
lizados en el manejo de plataformas informticas que tienen dominio del equipo y
sus respectivos sistemas informticos.

o Instructores: son los encargados de brindar enseanza en los diferentes temas
dnde tengan su respectiva especializacin.

o Tcnicos de Soporte: personal especializado en el manejo de hardware y/o softwa-
re para la realizacin de tareas especficas.

Otras funciones:

o Personal de Apoyo.

o Redactores Tcnicos.

o Administracin de Redes y/o Sistemas.

o Desarrolladores Web.

o Asesora de Prensa o Contactos Medios.

o Abogados en oficinas que lo respaldan.
1.1.2 Polticas de Seguridad Informtica
La posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes a las empre-
sas para mejorar su productividad y poder explorar ms all de las fronteras nacionales, lo cual
lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas de informa-
cin. Estos riesgos que se enfrentan han llevado a que muchas empresas desarrollen docu-
mentos y directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y reco-
mendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de las
mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la
empresa.

Las polticas de seguridad informtica surgen como una herramienta organizacional para con-
cientizar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la infor-
macin y servicios crticos que permiten a la institucin crecer y mantenerse competitiva. Ante
esta situacin, el proponer o identificar una poltica de seguridad requiere un alto compromiso
con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para

Pgina 29

renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizacio-
nes modernas.

1.1.2.1 Definicin
Una poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya que
las mismas establecen un canal formal de actuacin del personal, en relacin con los recursos
y servicios informticos de la organizacin.

No se puede considerar que una poltica de seguridad informtica es una descripcin tcnica
de mecanismos, ni una expresin legal que involucre sanciones a conductas de los empleados,
es ms bien una descripcin de lo que deseamos proteger y el por qu de ello, pues cada pol-
tica de seguridad es una invitacin a cada uno de sus miembros a reconocer la informacin
como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbi-
to de sus negocios.

Por tal razn, las polticas de seguridad deben concluir en una posicin consciente y vigilante
del personal por el uso y limitaciones de los recursos y servicios informticos.

1.1.2.2 Elementos
Como una poltica de seguridad debe orientar las decisiones que se toman en relacin con la
seguridad, se requiere la disposicin de todos los miembros de la organizacin para lograr una
visin conjunta de lo que se considera importante. Las polticas de seguridad informtica de-
ben considerar principalmente los siguientes elementos:

Tabla 1: Caractersticas que conforman una poltica.
Caracterstica Descripcin
Al cance
Alcance de la poltica, incluyendo facilidades, sistemas y personal
sobre la cual aplica.
Objetivo(s)
Objetivos de la poltica y descripcin clara de los elementos involu-
crados en su definicin.
Identificacin de Roles
Las partes involucradas en la poltica deben de ser claramente
identificados.
Responsabilidad
Deberes y responsabilidades de las partes identificadas deben de
ser definidos.
Interaccin
Describe la interaccin apropiada entre las partes identificadas de-
ntro de la poltica.
Procedimientos
Procedimientos esenciales pueden ser llamados, pero no deben
ser explicados en detalle dentro de la poltica.
Relaciones
Identifica las relaciones entre la poltica, servicios y otras polticas
existentes.
Mantenimiento
Describe las responsabilidades y guas para el mantenimiento y
actualizacin de la poltica.
Sanciones
Definicin de violaciones y sanciones por no cumplir con las polti-
cas.

Pgina 30

Las polticas de seguridad informtica, tambin deben ofrecer explicaciones comprensibles so-
bre por qu deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igual-
mente, debern establecer las expectativas de la organizacin en relacin con la seguridad y
especificar la autoridad responsable de aplicar los correctivos o sanciones.

Otro punto importante, es que las polticas de seguridad deben redactarse en un lenguaje sen-
cillo y entendible, libre de tecnicismos y trminos ambiguos que impidan una comprensin clara
de las mismas, claro est sin sacrificar su precisin.

Por ltimo, y no menos importante, el que las polticas de seguridad, deben seguir un proceso
de actualizacin peridica sujeto a los cambios organizacionales relevantes, como son: el au-
mento de personal, cambios en la infraestructura computacional, alta rotacin de personal, de-
sarrollo de nuevos servicios, regionalizacin de la empresa, cambio o diversificacin del rea
de negocios, etc.

1.1.2.3 Parmetros para su establecimiento
Es importante que al momento de formular las polticas de seguridad informtica, se consideren
por lo menos los siguientes aspectos:

Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar las
polticas a la realidad de la organizacin.

Reunirse con los departamentos dueos de los recursos, ya que ellos poseen la expe-
riencia y son la principal fuente para establecer el alcance y definir las violaciones a las
polticas.

Comunicar a todo el personal involucrado sobre el desarrollo de las polticas, incluyendo
los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de se-
guridad.

Identificar quin tiene la autoridad para tomar decisiones en cada departamento, pues
son ellos los interesados en salvaguardar los activos crticos de su rea.

Monitorear peridicamente los procedimientos y operaciones de la organizacin, de
forma tal, que ante cambios las polticas puedan actualizarse oportunamente.

Detallar explcita y concretamente el alcance de las polticas con el propsito de evitar
situaciones de tensin al momento de establecer los mecanismos de seguridad que
respondan a las polticas trazadas.

1.1.2.4 Razones que impiden su aplicacin
A pesar de que un gran nmero de organizaciones canalizan sus esfuerzos para definir directri-
ces de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy
pocas alcanzan el xito, ya que la primera barrera que se enfrenta es convencer a los altos eje-
cutivos de la necesidad y beneficios de buenas polticas de seguridad informtica.

Pgina 31

Otros inconvenientes lo representan los tecnicismos informticos y la falta de una estrategia de
mercadeo por parte de los Gerentes de Informtica o los especialistas en seguridad, que llevan
a los altos directivos a pensamientos como: "ms dinero para juguetes del Departamento de
Sistemas".

Esta situacin ha llevado a que muchas empresas con activos muy importantes, se encuentren
expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos
comprometen informacin sensitiva y por ende su imagen corporativa. Ante esta situacin, los
encargados de la seguridad deben confirmar que las personas entienden los asuntos importan-
tes de la seguridad, conocen sus alcances y estn de acuerdo con las decisiones tomadas en
relacin con esos asuntos.

Si se quiere que las polticas de seguridad sean aceptadas, deben integrarse a las estrategias
del negocio, a su misin y visin, con el propsito de que los que toman las decisiones reco-
nozcan su importancia e incidencias en las proyecciones y utilidades de la compaa.

Finalmente, es importante sealar que las polticas por s solas no constituyen una garanta pa-
ra la seguridad de la organizacin, ellas deben responder a intereses y necesidades organiza-
cionales basadas en la visin de negocio, que lleven a un esfuerzo conjunto de sus actores por
administrar sus recursos, y a reconocer en los mecanismos de seguridad informtica factores
que facilitan la formalizacin y materializacin de los compromisos adquiridos con la organiza-
cin.

1.1.2.5 Implementacin, Mantenimiento y Ejecucin
Una vez la validacin de la poltica es completada, la retroalimentacin debe de brindarse a los
creadores de las polticas para que puedan realizar versiones sobre las existentes. Una vez las
revisiones respectivas son hechas la poltica tiene que ser revisada y probada nuevamente. Al
estar validada en su totalidad y no ser necesarias ms modificaciones, la poltica puede ser im-
plementada.

La poltica tiene que ser mantenida y actualizada, ser necesario realizar revisiones regulares
sobre su comportamiento en la vida real. Muchas de estas revisiones sern equivalentes a re-
visiones de validacin.

Las revisiones se originan por el proceso de validacin, la continua validacin de las polticas
son realmente revisiones sobre el comportamiento de los parmetros de calidad. Mantenimien-
to y ejecucin son parte del proceso de un sistema de aseguramiento de calidad. Cada poltica
debe poseer un encargado designado quien mantiene el seguimiento en la calidad del servicio
afectado va el uso de la misma; puede proponer cambios a la poltica inclusive para hacerla
ms apropiada al proceso. Las polticas pueden y deben cambiar en el transcurso del tiempo,
no debe de caer en que una vez instituida jams se vuelva a actualizar.

1.1.2.6 Polticas recomendadas
A continuacin se brinda un listado de las polticas recomendadas que tiene que tener como
mnimo una organizacin:

Pgina 32

Tabla 2: Polticas recomendadas para la implementacin de un CSIRT

Poltica

Contenido Recomendado

Poltica de Seguridad: son las direc-
trices y objetivos generales de una or-
ganizacin relativos a la seguridad, ex-
presados formalmente por la direccin
general. Las polticas de seguridad
deben de contemplar seis elementos
claves en la seguridad: disponibilidad,
utilidad, integridad, autenticidad, confi-
dencialidad y posesin.

Alcances. (facilidades, sistemas y personas.)
Objetivos.
Descripcin de los elementos involucrados.
Responsabilidades.
Requerimientos mnimos de seguridad en la confi-
guracin de los distintos sistemas.
Responsabilidades de los usuarios con respecto a
la informacin a la que tienen acceso.
Poltica de Clasificacin de Informa-
cin: es la definicin de los criterios de
clasificacin y acceso a la informacin.

Introduccin / Descripcin.
Control de Acceso.
Identificacin / Clasificacin.
Interacciones de Terceros.
Destruccin y Disposicin.
Seguridad Fsica.
Consideraciones especiales (informacin secreta).

Poltica Externa para el acceso de la
Informacin: clasificacin de criterios
de acceso de entes externas a la orga-
nizacin para la utilizacin de la infor-
macin que genera la organizacin.

Definicin de Accesos y Procesos apropiados para
el acceso a la informacin.
Expedientes requeridos para el acceso.
Elaboracin de informe para el acceso.
Poltica para la clasificacin de los
Datos: establecer cmo se clasificarn
los datos dentro de la organizacin
segn los usuarios o entidades que la
consuman.

Control de acceso.
Identificacin / Clasificacin.
Interacciones de Terceros.
Seguridad Fsica.

Poltica de Aislamiento de la Infor-
macin: explica las clases de informa-
cin que se pueden recopilar, su natu-
raleza y criterios de uso de la misma.
Plasma excepciones de secreto sobre
algunas de ellas.

Descripcin y aplicabilidad.
Definiciones.
Requisitos Especficos.
Informacin que se brindar al individuo.
El derecho individual del acceso a los datos.

Pgina 33

El derecho individual de oponerse.
Acceso de datos personales a terceros.
Proceso de secreto y de seguridad.
Supervisin de actividades internas.

Poltica de Seguridad del Internet: es
la descripcin de los lineamientos de
seguridad de acceso al Internet y su
relacin con la organizacin.

Introduccin.
Integridad de la informacin.
Secreto de la informacin.
Representaciones pblicas.
Controles de accesos.
Uso personal.
Expectativas aislamiento de accesos.
Divulgacin de problemas de la seguridad.

Poltica de Notificacin de Inciden-
tes: define los criterios permitidos y
adecuados para el tratamiento de una
notificacin sobre un incidente reporta-
do.

Control de acceso.
Identificacin.
Clasificacin de las notificaciones.
Interacciones con terceros.

Poltica de Tratamiento de Inciden-
tes: hace referencia a la forma o los
medios que se utilizan para el manejo
de un incidente reportado.

Procedimiento.
Administracin del riesgo.
Reserva de informacin.

Poltica de Comunicacin Externa:
explica las normas para el manejo del
intercambio de comunicacin con enti-
dades externas a la organizacin.

Control de acceso.
Identificacin.
Clasificacin de las notificaciones.

Poltica de Entrenamiento y Capaci-
tacin: detalla los criterios de la orga-
nizacin en el manejo de los procesos

Descripcin.
Definiciones.

Pgina 34

de entrenamiento y capacitacin del
personal.
Procedimientos.
Reservas.
Consideraciones especiales.

Poltica de Tratamiento de Grandes
Actividades: describe los criterios de
la organizacin para el manejo de un
evento que utilice una alta demanda de
tiempo y recurso.

Procedimiento.
Administracin del riesgo.

Poltica de Error Humano: detalla las
directrices o manejos que ejecutar la
organizacin ante el eventual suceso
de que un integrante del equipo co-
menta un error.

Consideraciones.
Factores implicados.

Poltica de Seleccin de Personal:
define los criterios de la organizacin
para la implementacin del proceso de
reclutamiento.

Objetivos.
Descripcin de los aspectos involucrados.
Proceso de reclutamiento.
Derechos, obligaciones y responsabilidades.

Poltica de Despido: define los crite-
rios que aplica la organizacin cuando
se da por finalizado unilateralmente un
contrato laboral con un empleado.

Descripcin consistente respecto a los fines de la
institucin.
Definiciones.
Procedimiento.
Reservas.
Consideraciones especiales.

Poltica de la Seguridad de la
Computadora Personal: descripcin
de los criterios de aplicacin de la se-
guridad informtica sobre los computa-
dores personales clasificados por su
nivel de uso dentro de la organizacin.

Descripcin.
Uso en el negocio solamente.
Control de la configuracin.
Control de acceso.
Virus.
Reserva.
Destruccin.
Documentacin.
Seguridad Fsica.

Pgina 35

Poltica de Uso del Correo Electr-
nico: establece los lineamientos de la
utilizacin del correo electrnico de la
organizacin.

Objetivo.
Alcance.
Responsable.
Documentos asociados.
Definiciones.
Lineamientos del sistema de correo electrnico.
Condiciones de uso del correo electrnico.

Poltica de la Seguridad de la Red de
Computadoras: establece los linea-
mientos de seguridad de todos los ac-
tivos informticos dentro de la red de
computadoras. Brinda un nivel de de-
talle por cada dispositivo que se tenga
en la red de computadoras de la orga-
nizacin.

Propsito.
Alcance.
Poltica General.
Responsabilidades.
Control de acceso del sistema.
Uso de contraseas.
Proceso de la conexin y del trmino de sesin.
Privilegios del sistema.
Establecimiento de accesos.
Virus Computacionales, Gusanos y Caballos de
Troya.
Reserva de los datos y de los programas.
Cifrado.
Computadoras porttiles.
Impresiones en papel.
Aislamiento de accesos.
Registros y otras herramientas de la seguridad de
los sistemas.
Manipulacin de la informacin de la seguridad de
la red.
Seguridad fsica del computador y su conectividad.
Excepciones.
Violaciones.
Glosario de trminos.

Poltica de tele conmutacin de la
informacin: describe los lineamientos
para el establecimiento de la comuni-
cacin por medio de equipos de tele-
comunicaciones.

Control de ediciones.
Control de accesos.
Almacenamiento de datos y medios.
Medios de comunicacin.
Administracin del sistema.
Consideraciones del recorrido de los datos.
Seguridad fsica.

Poltica de uso de dispositivo mvi-
les: descripcin de los criterios de utili-
zacin de todos los dispositivos mvi-
les que posea la organizacin.

Control de ediciones y accesos.
Almacenamiento de datos y medios.
Medios de comunicacin.
Administracin del sistema.

Pgina 36

Consideraciones del recorrido de los datos.
Seguridad fsica.
Poltica de la Seguridad de los
equipos de Telecomunicaciones (In-
ternos y Externos): dicta las normas
de la organizacin para la aplicacin
de niveles de seguridad adecuados a
los distintos dispositivos de telecomu-
nicacin internos y externos que sean
de la organizacin.

Descripcin.
Uso en el negocio solamente.
Control de la configuracin.
Control de acceso.
Fallas.
Reserva.
Destruccin.
Documentacin.
Seguridad Fsica.

Para la definicin de las polticas pueden existir diversidad de criterios e implementaciones
segn la organizacin CSIRT.

Por ltimo, para tener una visin ms global en la implementacin de polticas de una organiza-
cin se presenta el estndar ISO 17799, dnde define las siguientes lneas:

Seguridad organizacional: aspectos relativos a la gestin de la seguridad dentro de la
organizacin (cooperacin con elementos externos, outsourcing, estructura del rea de
seguridad, etc.).

Clasificacin y control de activos: inventario de activos y definicin de sus mecanis-
mos de control, as como etiquetado y clasificacin de la informacin corporativa.

Seguridad del personal: formacin en materias de seguridad, clausulas de confiden-
cialidad, reporte de incidentes, monitorizacin de personal, etc.

Seguridad fsica y del entorno: bajo este punto se engloban aspectos relativos a la
seguridad fsica de los recintos donde se encuentran los diferentes recursos - incluyen-
do los humanos - de la organizacin y de los sistemas en s, as como la definicin de
controles genricos de seguridad.

Gestin de comunicaciones y operaciones: este es uno de los puntos ms interesan-
tes desde un punto de vista estrictamente tcnico, ya que engloba aspectos de la segu-
ridad relativos a la operacin de los sistemas y telecomunicaciones, como los controles
de red, la proteccin frente a malware, la gestin de copias de seguridad o el intercam-
bio de software dentro de la organizacin.

Controles de acceso: definicin y gestin de puntos de control de acceso a los recur-
sos informticos de la organizacin: contraseas, seguridad perimetral, monitorizacin
de accesos...

Desarrollo y mantenimiento de sistemas: seguridad en el desarrollo y las aplicacio-
nes, cifrado de datos, control de software, etc.

Pgina 37

Gestin de continuidad de negocio: definicin de planes de continuidad, anlisis de
impacto, simulacros de catstrofes, etc.

Requisitos legales: evidentemente, una poltica ha de cumplir con la normativa vigente
en el pas donde se aplica; si una organizacin se extiende a lo largo de diferentes pa-
ses, su poltica tiene que ser coherente con la normativa del ms restrictivo de ellos. En
este apartado de la polica se establecen las relaciones con cada ley: derechos de pro-
piedad intelectual, tratamiento de datos de carcter personal, exportacin de cifrado,
etc. junto a todos los aspectos relacionados con registros de eventos en los recursos
(bitcoras) y su mantenimiento.

1.1.3 Gestin de Incidentes
La Gestin de Incidentes tiene como objetivo resolver cualquier incidente que cause una inte-
rrupcin en el servicio de la manera ms rpida y eficaz posible.

La Gestin de Incidentes no debe confundirse con la Gestin de Problemas, pues a diferencia
de esta ltima, no se preocupa de encontrar y analizar las causas subyacentes a un determina-
do incidente sino exclusivamente a restaurar el servicio. Sin embargo, es obvio, que existe una
fuerte interrelacin entre ambas.

Los objetivos principales de la Gestin de Incidentes son:

Detectar cualquiera alteracin en los servicios TI.

Registrar y clasificar estas alteraciones.

Asignar el personal encargado de restaurar el servicio segn se define en el SLA co-
rrespondiente.

Esta actividad requiere un estrecho contacto con los usuarios, por lo que el Centro de Servicios
(Service Desk) debe jugar un papel esencial en el mismo.

El siguiente diagrama resume el proceso de gestin de incidentes:

Pgina 38

Figura 1: Gestin de Incidentes.

Aunque el concepto de incidencia se asocia naturalmente con cualquier malfuncionamiento de
los sistemas de hardware y software segn el libro de Soporte del Servicio de ITIL un incidente
es:

Cualquier evento que no forma parte de la operacin estndar de un servicio y que causa, o
puede causar, una interrupcin o una reduccin de calidad del mismo.

Por lo que casi cualquier llamada al Centro de Servicios puede clasificarse como un incidente,
lo que incluye a las Peticiones de Servicio tales como concesin de nuevas licencias, cambio
de informacin de acceso, etc. siempre que estos servicios se consideren estndar.

Cualquier cambio que requiera una modificacin de la infraestructura no se considera un servi-
cio estndar y requiere el inicio de una Peticin de Cambio que debe ser tratada segn los
principios de la Gestin de Cambios.

Los principales beneficios de una correcta Gestin de Incidentes incluyen:

Mejorar la productividad de los usuarios.

Cumplimiento de los niveles de servicio.

Mayor control de los procesos y monitorizacin del servicio.

Optimizacin de los recursos disponibles.

Una base de datos de gestin de configuraciones ms precisa pues se registran los in-
cidentes en relacin con los elementos de configuracin.

Y principalmente: mejora la satisfaccin general de clientes y usuarios.

Por otro lado una incorrecta Gestin de Incidentes puede acarrear efectos adversos tales co-
mo:

Reduccin de los niveles de servicio.

Se dilapidan valiosos recursos: demasiada gente o gente del nivel inadecuado trabajan-
do concurrentemente en la resolucin del incidente.

Pgina 39

Se pierde valiosa informacin sobre las causas y efectos de los incidentes para futuras
reestructuraciones y evoluciones.

Se crean clientes y usuarios insatisfechos por la mala y/o lenta gestin de sus inciden-
tes.

Las principales dificultades a la hora de implementar la Gestin de Incidentes se resumen en:

No se siguen los procedimientos previstos y se resuelven las incidencias sin registrarlas
o se escalan innecesariamente y/u omitiendo los protocolos preestablecidos.

No existe un margen operativo que permita gestionar los picos de incidencias por lo
que stas no se registran adecuadamente e impiden la correcta operacin de los proto-
colos de clasificacin y escalado.

No estn bien definidos los niveles de calidad de servicio ni los productos soportados.
Lo que puede provocar que se procesen peticiones que no se incluan en los servicios
previamente acordados con el cliente.
1.1.3.1 Ni vel de Prioridad
Es frecuente que existan mltiples incidencias concurrentes por lo que es necesario determinar
un nivel de prioridad para la resolucin de las mismas.

El nivel de prioridad se basa esencialmente en dos parmetros:

Impacto: determina la importancia del incidente dependiendo de cmo ste afecta a los
procesos de negocio y/o del nmero de usuarios afectados.

Urgencia: depende del tiempo mximo de demora que acepte el cliente para la resolu-
cin del incidente y/o el nivel de servicio.

Tambin se deben tener en cuenta factores auxiliares tales como el tiempo de resolucin espe-
rado y los recursos necesarios: los incidentes sencillos se tramitarn cuanto antes.

Dependiendo de la prioridad se asignarn los recursos necesarios para la resolucin del inci-
dente. La prioridad del incidente puede cambiar durante su ciclo de vida. Por ejemplo, se pue-
den encontrar soluciones temporales que restauren aceptablemente los niveles de servicio y
que permitan retrasar el cierre del incidente sin graves repercusiones. Es conveniente estable-
cer un protocolo para determinar, en primera instancia, la prioridad del incidente. El siguiente
diagrama nos muestra un posible diagrama de prioridades en funcin de la urgencia e impac-
to del incidente:

Pgina 40

Figura 2: Diagrama de Prioridades.
1.1.3.2 Escalonamiento
Es frecuente que el Centro de Servicios no se vea capaz de resolver en primera instancia un
incidente y para ello deba recurrir a un especialista o a algn superior que pueda tomar deci-
siones que se escapan de su responsabilidad. A este proceso se le denomina escalado.

Bsicamente hay dos tipos diferentes de escalado:

Escalado funcional: Se requiere el apoyo de un especialista de ms alto nivel para re-
solver el problema.

Escalado jerrquico: Debemos acudir a un responsable de mayor autoridad para to-
mar decisiones que se escapen de las atribuciones asignadas a ese nivel, como, por
ejemplo, asignar ms recursos para la resolucin de un incidente especfico.

El proceso de escalado puede resumirse grficamente como sigue:

Pgina 41

Figura 3: Escalado.

El diseo de las polticas de escalonamiento va en funcin de qu tipo de escalamiento se
adopte, queda a discrecin de cada grupo CSIRT el disear su respectiva poltica.

Pgina 42

1.1.3.3 Proceso
El siguiente diagrama muestra los procesos implicados en la correcta Gestin de Incidentes.

Figura 4: Proceso de la Gestin de Incidentes.
Gestin de Configuraciones: la base de datos de Gestin de Configuraciones juego
un papel clave en la resolucin de incidentes pues, por ejemplo, nos muestra informa-
cin sobre los responsables de los componentes de configuracin implicados. La base
de datos de Gestin de Configuraciones tambin nos permite conocer todas las implica-
ciones que pueden tener en otros servicios el malfuncionamiento de un determinado
elemento de configuracin.

Gestin de Problemas: ofrece ayuda a la Gestin de Incidentes informando sobre erro-
res conocidos y posibles soluciones temporales. Por otro lado, establece controles so-
bre la calidad de la informacin registrada por la Gestin de Incidentes para que sta
sea de utilidad en la deteccin de problemas y su posible solucin.

Gestin de Cambios: la resolucin de un incidente puede general una peticin de
cambio que se enva a la Gestin de Cambios. Por otro lado, un determinado cambio
errneamente implementado puede ser el origen de mltiples incidencias y la Gestin
de Cambios debe mantener cumplidamente informada a la Gestin de Incidencias sobre
posibles incidencias que los cambios realizados puedan causar en el servicio.

Gestin de Disponibilidad: utilizar la informacin registrada sobre la duracin, el im-
pacto y el desarrollo temporal de los incidentes para elaborar informes sobre la disponi-
bilidad real del sistema.

Pgina 43

Gestin de la Capacidad: se ocupar de incidentes causados por una insuficiente in-
fraestructura IT. (Insuficiencia del ancho de banda, capacidad de procesamiento, etc.)

Gestin de Niveles de Servicio: La Gestin de Incidentes debe tener acceso a los ni-
veles de servicio acordados con el cliente para poder determinar el curso de las accio-
nes a adoptar. Por otro lado, la Gestin de Incidentes debe proporcionar peridicamen-
te informes sobre el cumplimiento de los niveles de servicio contratados.

1.1.3.4 Registro
La admisin y registro del incidente es el primer y necesario paso para una correcta gestin del
mismo. Las incidencias pueden provenir de diversas fuentes tales como usuarios, gestin de
aplicaciones, el mismo Centro de Servicios o el soporte tcnico, entre otros.

El proceso de registro debe realizarse inmediatamente pues resulta mucho ms costoso hacer-
lo posteriormente y se corre el riesgo de que la aparicin de nuevas incidencias demore indefi-
nidamente el proceso.

La admisin a trmite del incidente: el Centro de Servicios debe de ser capaz de eva-
luar en primera instancia si el servicio requerido se incluye en el SLA del cliente y en
caso contrario reenviarlo a una autoridad competente.

Comprobacin de que ese incidente an no ha sido registrado: es comn que ms
de un usuario notifique la misma incidencia y por lo tanto han de evitarse duplicaciones
innecesarias.

Asignacin de referencia: al incidente se le asignar una referencia que le identificar
unvocamente tanto en los procesos internos como en las comunicaciones con el clien-
te.

Registro inicial: se han de introducir en la base de datos asociada la informacin bsi-
ca necesaria para el procesamiento del incidente (hora, descripcin del incidente, sis-
temas afectados...).

Informacin de apoyo: se incluir cualquier informacin relevante para la resolucin
del incidente que puede ser solicitada al cliente a travs de un formulario especfico, o
que pueda ser obtenida de la propia base de datos de la gestin de la configuracin
(hardware interrelacionado), etc.

Notificacin del incidente: en los casos en que el incidente pueda afectar a otros
usuarios estos deben ser notificados para que conozcan como esta incidencia puede
afectar su flujo habitual de trabajo.

1.1.3.5 Clasificacin
La clasificacin de un incidente tiene como objetivo principal el recopilar toda la informacin
que pueda ser de utilizada para la resolucin del mismo.

Pgina 44

El proceso de clasificacin debe implementar, al menos, los siguientes pasos:

Categorizacin: se asigna una categora (que puede estar a su vez subdividida en ms
niveles) dependiendo del tipo de incidente o del grupo de trabajo responsable de su re-
solucin. Se identifican los servicios afectados por el incidente.
Establecimiento del nivel de prioridad: dependiendo del impacto y la urgencia se de-
termina, segn criterios preestablecidos, un nivel de prioridad.

Asignacin de recursos: si el Centro de Servicios no puede resolver el incidente en
primera instancia designar al personal de soporte tcnico responsable de su resolucin
(segundo nivel).

Monitorizacin del estado y tiempo de respuesta esperado: se asocia un estado al
incidente (por ejemplo: registrado, activo, suspendido, resuelto, cerrado) y se estima el
tiempo de resolucin del incidente en base al nivel de servicio correspondiente y la prio-
ridad.

1.1.3.6 Anlisis, Resolucin y Cierre.
En primera instancia se examina el incidente con ayuda de la base de datos de conocimiento
para determinar si se puede identificar con alguna incidencia ya resuelta y aplicar el procedi-
miento asignado.

Si la resolucin del incidente se escapa de las posibilidades del Centro de Servicios ste redi-
recciona el mismo a un nivel superior para su investigacin por los expertos asignados. Si es-
tos expertos no son capaces de resolver el incidente se seguirn los protocolos de escalado
predeterminados.

Durante todo el ciclo de vida del incidente se debe actualizar la informacin almacenada en las
correspondientes bases de datos para que los agentes implicados dispongan de cumplida in-
formacin sobre el estado del mismo.

Si fuera necesario se puede emitir una peticin de cambio. Si la incidencia fuera recurrente y
no se encuentra una solucin definitiva al mismo se deber informar igualmente a la Gestin de
Problemas para el estudio detallado de las causas subyacentes.

Cuando se haya solucionado el incidente se:

Confirma con los usuarios la solucin satisfactoria del mismo.

Incorpora el proceso de resolucin a la base de datos de conocimiento.

Reclasifica el incidente si fuera necesario.

Actualiza la informacin en la base de datos de gestin de configuraciones sobre los
elementos de configuracin implicados en el incidente.

Cierra el incidente.

Pgina 45

1.1.3.7 Control del proceso
La correcta elaboracin de informes forma parte esencial en el proceso de Gestin de Inciden-
tes.

Estos informes deben aportar informacin esencial, por ejemplo:

La Gestin de Niveles de Servicio: es esencial que los clientes dispongan de informa-
cin puntual sobre los niveles de cumplimiento de los niveles de servicio y que se adop-
ten medidas correctivas en caso de incumplimiento.

Monitoreo del rendimiento del Centro de Servicios: conocer el grado de satisfaccin
del cliente por el servicio prestado y supervisar el correcto funcionamiento de la primera
lnea de soporte y atencin al cliente.

Optimizar la asignacin de recursos: los gestores deben conocer si el proceso de es-
calado ha sido fiel a los protocolos preestablecidos y si se han evitado duplicidades en
el proceso de gestin.

Identificar errores: puede ocurrir que los protocolos especificados no se adecuen a la
estructura de la organizacin o las necesidades del cliente por lo que se deban tomar
medidas correctivas.

Disponer de Informacin Estadstica: que puede ser utilizada para hacer proyeccio-
nes futuras sobre asignacin de recursos, costes asociados al servicio, etc.

Por otro lado una correcta Gestin de Incidentes requiere de una infraestructura que facilite su
correcta implementacin. Entre ellos cabe destacar:

Un correcto sistema automatizado de registro de incidentes y relacin con los clientes.

Una Base de Conocimiento que permita comparar nuevos incidentes con incidentes ya
registrados y resueltos. Una Base de Conocimiento actualizada permite:

o Evitar escalados innecesarios.

o Convertir el know how de los tcnicos en un activo duradero de la empresa.

o Poner directamente a disposicin del cliente parte o la totalidad de estos datos (a la
manera de FAQs) en una Extranet. Lo que puede permitir que a veces el usuario no
necesite siquiera notificar la incidencia.

Una base de datos de gestin de configuraciones que permita conocer todas las confi-
guraciones actuales y el impacto que estas puedan tener en la resolucin del incidente.

Para el correcto seguimiento de todo el proceso es indispensable la utilizacin de mtricas que
permitan evaluar de la forma ms objetiva posible el funcionamiento del servicio. Algunos de
los aspectos clave a considerar son:

Pgina 46

Nmero de incidentes clasificados temporalmente y por prioridades.

Tiempos de resolucin clasificados en funcin del impacto y la urgencia de los inciden-
tes.

Nivel de cumplimiento de los niveles de servicio.

Costos asociados.

Uso de los recursos disponibles en el Centro de Servicios.

Porcentaje de incidentes, clasificados por prioridades, resueltos en primera instancia por
el Centro de Servicios.

Grado de satisfaccin del cliente.

1.1.3.8 Soporte de Incidentes
A continuacin se brinda una tabla que contiene los pasos recomendados para el soporte de
incidentes:

Tabla 3: Pasos recomendados para el soporte de Incidentes

PASOS RECOMENDADOS PARA EL SOPORTE DE INCIDENTES

No.
PASO
NOMBRE DESCRIPCIN
1
Reporte de un incidente a
ser atendido
Las personas autorizadas por parte de las Unidades de
Negocio reportan situaciones o funcionamientos anorma-
les en la infraestructura IT (equipos, redes, servidores,
servicios, etc.) Los incidentes son reportados por dife-
rentes medios: Email, personalmente, por Web utilizando
el Portal de Autoservicio y por Telfono.
2
Registro y documentacin
del incidente reportado
El agente de soporte o usuario identifica el tipo de inci-
dente (alertas, errores, cadas del sistema, actualizacio-
nes, etc.) que se reporta y la prioridad (alta, media, baja)
que se debe asignar. Registra la persona que reporta el
incidente y el elemento involucrado en el incidente, obtie-
ne instantneamente una visin de toda la informacin de
la persona, quin es?, cmo debe ser atendida?, inci-
dentes pendientes, etc. Realiza un diagnostico inicial de
lo que sucede.
3
Preparacin de la solucin
del incidente
Cuando el agente de soporte o usuario registra la infor-
macin bsica del incidente, se asigna el tiempo mximo
de solucin que depende de los acuerdos de nivel de
servicio pactados. Se despliegan soluciones sugeridas
tomadas de la historia de incidentes similares y de la Ba-

Pgina 47

se de Conocimiento. Se sugieren tareas para planear la
solucin del servicio con tareas internas. Y se desplie-
gan plantillas con ayudas para diagnosticar el problema y
para comunicarse con el Cliente: plantillas para envo de
email y para llamadas entrantes y salientes.
4
Proceso de solucin
utilizando herramientas de
software como apoyo.
Se envan alertas por email para listas de notificacin
previamente creadas. Se remite el incidente a otros
usuarios (responsables de la solucin) si es necesario.
Se realizan tareas internas para completar actividades
necesarias en la solucin. Se le comunica a la unidad de
negocio por diferentes medios los avances realizados en
la solucin del incidente. Todo el proceso se realiza te-
niendo en cuenta el tiempo mximo de solucin asignado
al incidente, para lo cual se envan alertas por email a los
responsables.
5
Identificacin y solucin
de problemas
Como parte del proceso de solucin se analiza toda la
informacin de incidentes similares sobre los mismos
elementos de la infraestructura IT, los diagnsticos reali-
zados y las tareas o actividades internas realizadas para
dar una solucin. Si se identifican situaciones recurren-
tes, se registra la causa comn como un problema, que
al ser solucionada, soluciona todos los incidentes que
tienen esa causa en comn. De esa manera se evita que
se presenten incidentes similares y se mejora el nivel de
satisfaccin de las unidades de negocio con el soporte
tcnico que se presta.
6
Cierre exitoso del
incidente
Se comunica a la unidad de negocio el cierre del inciden-
te reportado cumpliendo las polticas de servicio prometi-
das y respetando los tiempos mximos de solucin pac-
tadas segn el tipo de incidente que se report y la prio-
ridad asignada. Se documenta detalladamente el cierre
del servicio para que enriquezca la Base de Conocimien-
to de la organizacin y pueda ser utilizada como una so-
lucin sugerida para un prximo servicio.

Tambin es importante contar con procedimientos de mejora continua sobre las distintas activi-
dades de soporte que se proveen. Para ello se recomiendan los siguientes puntos:

Planeacin de Cambios de Infraestructura IT: es coordinar cambios con mnimo im-
pacto y riesgo aceptable. Ayuda a que los gerentes tecnolgicos y los gerentes de re-
as de negocio estn informados e involucrados sobre qu cambios se realizarn y que
no haya lugar a sorpresas inesperadas. Se asignan responsables y niveles de autoriza-
cin para aprobar los cambios propuestos. Un cambio soluciona problemas, que a su
vez evita la ocurrencia de incidentes.

Implementacin de Cambios con Entregas Controladas: es planear y tener a todos
informados de la implementacin de cambios en la infraestructura con mnimas inte-
rrupciones y riesgos. La gestin de entregas complementa la gestin de cambios. En

Pgina 48

los cambios se planea y ejecuta en ambientes de calidad (pruebas) y en la entrega se
ejecuta e implementa ya en sistemas de produccin.

Retroalimentacin y Mejora del Proceso de Soporte Tcnico: se analiza toda la in-
formacin generada en la atencin y solucin de incidentes para mejorar continuamente
el proceso de soporte tcnico a las unidades de negocio. Se mejora la base de conoci-
mientos, las soluciones y tareas sugeridas. Los ndices de satisfaccin de las unidades
de negocio mejoran y se impulsa el crecimiento.
Y finalmente un esquema de cmo fluira la informacin podra ser de la siguiente manera.

Figura 5: Flujo de Informacin en un CSIRT.

1.1.4 Recomendaciones para la posible insercin del CSIRT en la organizacin y
sus posibles modelos de relacin

A continuacin se dar una visin de qu tipo de estructura organizacional puede adoptar un
CSIRT (debe de ser pertinente respecto a las servicios que brinda) as como de los posibles
mapas relacionales con su organizacin.

Es muy importante tener claro los siguientes puntos:

Crear la visin y misin.

Definir el segmento que se atender. (Comunidad)

Seleccionar un modelo organizacional y servicios.

Canales de comunicacin dentro de la organizacin y su dominio.

Pgina 49

Estructura dentro de la Organizacin: polticas, procesos y procedimientos.

1.1.4.1 Modelos organizacionales CSIRT
Hay que elegir qu modelo organizacional CSIRT se va a desarrollar. Dependiendo de la
eleccin existe una sinergia natural de los servicios que se brindarn.

Obviamente el modelo que cada equipo tome en sus inicios podr ser menor en alcance y can-
tidad pero dependiendo de la experiencia y madurez del equipo estos se podrn ir incremen-
tando segn sea la estrategia adoptada.
Tabla 4: Modelos organizacionales CSIRT

Modelo

Descripcin Servicios
Equipo
de Seguridad

Es la organizacin que se da
de hecho cuando no existe
un CSIRT constituido. No
hay una asignacin formal de
responsabilidades respecto a
los incidentes de seguridad.
El personal existente, usual-
mente de TI, maneja los
eventos de seguridad como
parte de su actividad habi-
tual.

Bsicos:
Anlisis de Incidentes.
Respuesta al incidente en el lugar.
Coordinacin de respuesta a incidentes.
Respuesta a Vulnerabilidades.
Respuesta a Artefactos.
Configuracin y mantenimiento de herra-
mientas.
Servicios de deteccin de intrusiones.

Adicionales:
Alertas y Advertencias.
Anlisis de Vulnerabilidades.
Coordinacin de respuesta a vulnerabilida-
des.
Anlisis de Artefactos.
Coordinacin de la respuesta a Artefactos.

Modelo
Distribuido

Es una estructura central pe-
quea (al menos un gerente
de seguridad) supervisa y
coordina al personal del
equipo distribuido en la orga-
nizacin.

El personal del equipo distri-
buido es personal previamen-
te existente en la organiza-
cin. Se le asignan explci-
tamente responsabilidades
relativas a seguridad, a las
que se dedica parcial o to-

Bsicos:
Soporte telefnico / correo electrnico.
des.
Anuncios.

Adicionales:

Pgina 50

talmente.

Este modelo se adeca bien
a organizaciones grandes en
las que un equipo centraliza-
do puede ser insuficiente.

Observatorio tecnolgico.
Auditoras o evaluaciones de seguridad.
mientas.
Desarrollo de herramientas.
Difusin de informacin relacionada con
seguridad.
Anlisis de Riesgo.
Planificacin de la continuidad del negocio
y recuperacin de desastres.
Consultora de seguridad.
Concientizacin.
Educacin / Capacitacin.
Evaluacin y/o certificacin de productos.

Modelo
Centralizado

Consta de un equipo centra-
lizado de personal a tiempo
completo que toma la res-
ponsabilidad sobre la seguri-
dad en toda la organizacin.

Bsicos:
des.
Anuncios.
seguridad.

Adicionales:
mientas.
Anlisis de Riesgo.
Concientizacin.

Pgina 51

Modelo
Combinado

Es una combinacin entre el
modelo distribuido y el cen-
tralizado.

Bsicos:
des.
Anuncios
seguridad.

Adicionales:
mientas.
Anlisis de Riesgo.
Concientizacin.

Modelo
Coordinador

Es un equipo centralizado
que coordina y facilita el ma-
nejo de incidentes de seguri-
dad. Por lo general atiende a
una comunidad objetivo for-
mada por organizaciones ex-
ternas mltiples y diversas.

Bsicos:
des.
Anuncios
seguridad.
Concientizacin.

Pgina 52

Adicionales:
Anlisis de Riesgo.

1.1.4.2 Estudio Organizacional
La organizacin es un sistema de actividades conscientemente coordinadas formado por dos o
ms personas; la cooperacin entre ellas es esencial para su existencia. La organizacin es el
acto de disponer y coordinar los recursos disponibles (materiales, humanos y financieros), y se
hace funcional mediante normas y bases de datos que han sido dispuestas para estos propsi-
tos.

Es relevante la realizacin de un estudio preciso de la organizacin dnde se desee implantar
un CSIRT para lograr definir una estructura que se adapte a su futura operacin.

Se recomienda que el estudio se enfoque en: tipo de estructura y procedimientos. Naturalmen-
te desembocarn en temas de factibilidad tales como: personal, planificacin, presupuesto, in-
formacin, finanzas, niveles tcnicos, etc.

Generalmente una organizacin se clasifica bajo los siguientes criterios:

Finalidad: con fin de lucro sin fin de lucro.

Estructura: formal o informal.

Tamao: grande, mediana, pequea, micro.

Localizacin: multinacional, nacional, local o regional.

Produccin: bienes y servicios.

Propiedad: pblica, privada, mixta.

Grado de integracin: total o parcialmente integrada.

Actitud ante los cambios: rgido o flexible.

Tambin las formas organizacionales son importantes de evaluar:

Pgina 53

Actividad o Giro: Industriales, Comerciales, Servicios.

Origen del Capital: Pblicas, Privadas.

Tamao de la Organizacin: Grandes, medianas, micro o pequeas.

Y por ltimo analizar el ambiente organizacional, se debe de reconocer y responder en forma
rentable antes las necesidades y tendencias que demande:

Ambiente Externo: la interaccin con terceros tales como proveedores, clientes, so-
cios, etc.

Ambiente Interno: todo lo relacionado con la organizacin dnde se encuentra o l
mismo CSIRT.

Pgina 54

1.1.4.3 Tipos de estructuras organizacionales
Dentro de los distintos tipos de estructuras organizacionales definidos por los expertos se pos-
tulan a continuacin los tipos que a criterio encajan para una organizacin CSIRT.

1.1.4.3.1 Modelo Funcional
Las actividades se agrupan por funciones comunes desde la base hasta la cima de la organiza-
cin. Consolida el conocimiento y las habilidades humanas de actividades especficas con el
fin de proporcionar una pericia o experiencia de mayor profundidad.

Es ms efectiva cuando:

Es necesaria una alta experiencia para lograr los objetivos organizativos.

La organizacin necesita ser controlada y coordinada por medio de la jerarqua vertical.

La eficiencia es importante.

No se requiere mucha coordinacin horizontal.

Estructura funcional con enlaces horizontales: para hacer frente a los retos actuales, las orga-
nizaciones complementan la jerarqua funcional vertical con vnculos horizontales.

Figura 6: Modelo de Organigrama Funcional.

Pgina 55

Tabla 5: Fortalezas y Debilidades del Modelo Funcional.
MODELO FUNCIONAL
FORTALEZAS DEBILIDADES

Permite economas de escala en los depar-
tamentos funcionales.
Permite el desarrollo de habilidades en pro-
fundidad.
Permite que la organizacin alcance sus
objetivos funcionales.
Es mejor con uno o unos cuantos productos.

Respuesta lenta a los cambios del entorno.
Puede hacer que las decisiones se acumu-
len en la parte superior, con sobrecarga de
la jerarqua.
Conduce a una mala coordinacin horizontal
entre departamentos.
Da lugar a una menor innovacin.
Implica un punto de vista limitado de las
metas organizacionales.

1.1.4.3.2 Modelo Basado en el Producto
Se organiza de acuerdo a lo que se produce ya sean bienes o servicios; esta forma de organi-
zacin es empleada en las grandes compaas donde cada unidad que maneja un producto se
le denomina divisiones estos poseen subunidades necesarias para su operacin.

Figura 7: Modelo de Organigrama basado en el Producto.

Pgina 56

Tabla 6: Fortalezas y Debilidades del Modelo basado en el Producto.
MODELO BASADO EN EL PRODUCTO

Descentraliza la toma de decisiones.
Se utiliza en organizaciones grandes.
Rpida adaptacin de unidades de trabajo.
Permite que los problemas de coordinacin
e integracin sean detectados lo ms pronto
posible y se les de una solucin rpida.
Altamente recomendada para la implemen-
tacin de cambios rpidos.
Se logra aislar los problemas concernientes
a un producto respecto a los dems y evita
que interfieran los problemas de una funcin
con todos los productos.
Permite el empleo de equipo especializado
para el manejo de materiales, as como de
sistemas especializados de comunicacio-
nes.
Satisfaccin del Cliente.

Reduce la oportunidad de utilizar equipo o
personal especializado.
Entorpece la estandarizacin.
Coordinacin deficiente entre lneas del
producto.
Se entorpece la comunicacin entre espe-
cialistas, ya que ahora presentan sus servi-
cios en diferentes unidades.
Los empleados de la organizacin se divi-
den en grupos y se encarga de la produc-
cin de un producto especifico, adems ca-
da grupo tiene un especialista para cada
funcin y un gerente que es el responsable
de supervisar el proceso que se lleva a cabo
para la obtencin del producto o servicio y
adems enva un reporte al director general
de la organizacin acerca de la evolucin de
este proceso, este director general es el
responsable de supervisar que cada gerente
realice de forma adecuada su trabajo y fija
las metas de la organizacin.

1.1.4.3.3 Basada en los clientes
El tipo particular de clientes que una organizacin busca alcanzar, puede tambin ser utilizada
para agrupar empleados. La base de esta departamentalizacin est en el supuesto de que los
clientes en cada conjunto tienen problemas y necesidades comunes que pueden ser resueltos
teniendo especialistas departamentales para cada uno.

Aqu el cliente es el eje central, la organizacin se adapta y se subdivide agrupndose el per-
sonal para cumplir las funciones necesarias para satisfacer las necesidades de cada tipo de
cliente.

Pgina 57

Figura 8: Modelo de Organigrama basado en el Cliente.

Tabla 7: Fortalezas y Debilidades del Modelo basado en el Cliente.
MODELO BASADO EN EL CLIENTE

Mejora la adaptacin a las necesidades del
cliente.
Descentralizacin del proceso de decisin.
Mejor estandarizacin de productos.
Satisfaccin del Cliente.
Gestin de nichos de negocio de la organi-
zacin.

Dificultad de coordinacin con los departa-
mentos organizados sobre otras bases, con
una constante presin de los gerentes solici-
tando excepciones y tratamiento especial.
En ciertas ocasiones pueden reducirse o
incrementarse ciertos tipos de clientes, ya
sea por recesiones econmicas donde los
comercios minoristas tienden a disminuir y
por el contrario se incrementan los muy pe-
queos negocios, esto requiere ms vende-
dores pero disminuye el grado de eficiencia
de los mismos.

1.1.4.3.4 Hbrida

Pgina 58

Esta estructura, rene algunas de las caractersticas importantes de las estructuras anterior-
mente expuestas, la estructura de una organizacin puede ser de enfoque mltiple, ya que utili-
za al mismo tiempo criterios de productos y funcin o producto y geografa.

Este tipo de estructuracin es utilizada mayormente cuando las empresas crecen y tienen va-
rios productos o mercados, es caracterstico que las funciones principales para cada producto o
mercado se descentralicen y se organicen en unidades especficas, adems algunas funciones
tambin se centralizan y localizan en oficinas centrales cuya funcin es relativamente estable y
requiere economas de escala y especializacin profunda. Cuando se combinan caractersticas
de las estructuras funcionales y divisionales, las organizaciones pueden aprovechar las fortale-
zas de cada una y evitar alguna de sus debilidades.

Figura 9: Modelo de Organigrama Hbrido.

Tabla 8: Fortalezas y Debilidades del Modelo Hbrido.
MODELO HBRIDO

Pgina 59


Coordinacin entre y dentro de las lneas
del producto.
Coincidencia de objetivos entre las divisio-
nes y la central.
Eficiencia en los departamentos centraliza-
dos.
Adaptabilidad, coordinacin en las divisio-
nes.

Se crean conflictos entre el personal corpo-
rativo y el divisional.
Altos costos Administrativos.

1.1.4.3.5 Matricial
Existen condiciones para la estructura matricial:

Existe presin para compartir recursos escasos entre las lneas de producto.

Existe presin ambiental con relacin a dos o ms resultados cruciales.

El entorno de la organizacin es complejo e incierto. (Frecuentes cambios externos y
alta interdependencia departamental. Alta necesidad de coordinacin y procesamiento
de informacin.)

La estructura formaliza los equipos horizontales junto con la tradicional jerarqua vertical. La
estructura matricial es mejor cuando:

La incertidumbre del entorno es alta.

Los objetivos reflejan un requerimiento doble, como metas de producto y funcionales.

Funciona mejor en organizaciones de tamao mediano con pocas lneas de productos.

Pgina 60

Figura 10: Modelo de Organigrama Matricial.

Tabla 9: Fortalezas y Debilidades del Modelo Matricial.
MODELO MATRICIAL

Logra la coordinacin necesaria para satis-
facer las demandas duales de los clientes.
Comparte flexiblemente los recursos huma-
nos entre productos.
Adaptada para decisiones complejas y
cambios frecuentes en un entorno inestable.
Proporciona oportunidades para el desarro-
llo de habilidades tanto funcionales como en
productos.
Es ms adecuada en organizaciones de
tamao mediano con productos mltiples.
Recursos Humanos compartidos.

Somete a los participantes a la experiencia
de una autoridad dual; esto puede ser frus-
trante y ocasionar confusin.
Implica que los participantes necesitan bue-
nas habilidades interpersonales y mucha
capacitacin.
Consume tiempo; implica frecuentes reunio-
nes y sesiones para la solucin de conflic-
tos.
No funcionar a menos que los participantes
entiendan y adopten relaciones colegiadas
en lugar de tipo vertical.
Requiere grandes esfuerzos para mantener
el equilibrio de poder.

1.2 Recomendaciones generales respecto de la infraestructura fsica necesaria

Pgina 61

en las etapas iniciales
Esta seccin pretende brindar la informacin bsica necesaria para la creacin de un centro de
cmputo que iniciar a brindar los respectivos servicios tecnolgicos de informacin para un
CSIRT en formacin.

Obviamente con el crecimiento de la experiencia y el nivel de madurez en sus servicios se
podr escalar en robustecer cada uno de los puntos segn sea la necesidad de cada uno de
los servicios que estn implicados.

1.2.1 Recomendaciones de Seguridad Fsica y Ambiental
La instalacin y ubicacin fsica dentro de la organizacin depende de muchos factores, entre
los que podemos citar: el servicio que se pretende obtener, el tamao de la organizacin, las
disponibilidades de espacio fsico existente o planificado, etc.

Se comprende dentro del siguiente detalle la seguridad fsica y ambiental de las reas, seguri-
dad del equipo y controles generales.

Generalmente, la instalacin fsica de un centro de cmputo exige tener en cuenta por lo me-
nos los siguientes puntos:
1.2.1.1 Local Fsico
Donde se analizar el espacio disponible, el acceso de equipos y personal, instalaciones de
suministro elctrico, acondicionamiento trmico y elementos de seguridad disponibles.
1.2.1.2 Espacio y Movilidad
Caractersticas de las salas, altura, anchura, posicin de las columnas, posibilidades de movili-
dad de los equipos, suelo mvil o suelo falso, etc.
1.2.1.3 Tratamiento Acstico
Los equipos ruidosos como las impresoras con impacto, equipos de aire acondicionado o equi-
pos sujetos a una gran vibracin, deben estar en zonas donde tanto el ruido como la vibracin
se encuentren amortiguados.
1.2.1.4 Ambiente Climtico
En cuanto al ambiente climtico, la temperatura de una oficina con computadoras debe estar
comprendida entre 18 y 21 grados centgrados y la humedad relativa del aire debe estar com-
prendida entre el 45% y el 65%. En todos los lugares hay que contar con sistemas que renue-
ven el aire peridicamente. No menos importante es el ambiente sonoro por lo que se reco-
mienda no adquirir equipos que superen los 55 decibeles, sobre todo cuando trabajan
muchas personas en un mismo espacio.
1.2.1.5 Instalacin Elctrica
El suministro elctrico a un centro de cmputo, y en particular la alimentacin de los equipos,
debe hacerse bajo unas condiciones especiales, como la utilizacin de una lnea independiente
del resto de la instalacin para evitar interferencias, con elementos de proteccin y seguridad

Pgina 62

especficos y en muchos casos con sistemas de alimentacin ininterrumpida (equipos electr-
genos, instalacin de bateras, etc.).

1.2.1.6 Picos y Ruidos Electromagnticos
Las subidas (picos) y cadas de tensin no son el nico problema elctrico al que se han de
enfrentar los usuarios. Tambin est el tema del ruido que interfiere en el funcionamiento de
los componentes electrnicos. El ruido interfiere en los datos, adems de favorecer la
escucha electrnica.

1.2.1.7 Cableado
Los cables que se suelen utilizar para construir las redes locales van del cable telefni-
co normal al cable coaxial o la fibra ptica. Algunos edificios de oficinas ya se constru-
yen con los cables instalados para evitar el tiempo y el gasto posterior, y de forma que se mi-
nimice el riesgo de un corte, rozadura u otro dao accidental. Es importante tener presente que
el cableado posee varias categoras y el asesorarse cul es la ms indicada para el uso que se
requiera es una parte vital del proceso de seleccin. Y por ltimo aplicar procesos de certifica-
cin sobre el cableado instalado es altamente recomendable.

Los riesgos ms comunes para el cableado se pueden resumir en los siguientes:

1. Interferencia: estas modificaciones pueden estar generadas por cables de alimenta-
cin de maquinaria pesada o por equipos de radio o microondas. Los cables de
fibra ptica no sufren el problema de alteracin (de los datos que viajan a travs de l)
por accin de campos elctricos, que si sufren los cables metlicos.

2. Corte del cable: la conexin establecida se rompe, lo que impide que el flujo de datos
circule por el cable.

3. Daos en el cable: los daos normales con el uso pueden daar el apantallamiento
que preserva la integridad de los datos transmitidos o daar al propio cable, lo que hace
que las comunicaciones dejen de ser fiables.

En la mayor parte de las organizaciones, estos problemas entran dentro de la categora de da-
os naturales. Sin embargo tambin se pueden ver como un medio para atacar la red si el ob-
jetivo es nicamente interferir en su funcionamiento.

El cable de red ofrece tambin un nuevo frente de ataque para un determinado intruso que in-
tentase acceder a los datos. Esto se puede hacer:

1. Desviando o estableciendo una conexin no autorizada en la red: un sistema
de administracin y procedimiento de identificacin de acceso adecuados har difcil
que se puedan obtener privilegios de usuarios en la red, pero los datos que fluyen a
travs del cable pueden estar en peligro.
2. Haciendo una escucha sin establecer conexin, los datos se pueden seguir y pueden
verse comprometidos.

Pgina 63

3. Luego, no hace falta penetrar en los cables fsicamente para obtener los datos
que transportan.

1.2.1.7.1 Cableado de Alto Nivel de Seguridad
Son cableados de redes que se recomiendan para instalaciones con grado de seguridad militar.
El objetivo es impedir la posibilidad de infiltraciones y monitoreos de la informacin que circula
por el cable. Consta de un sistema de tubos (hermticamente cerrados) por cuyo interior circu-
la aire a presin y el cable. A lo largo de la tubera hay sensores conectados a una computado-
ra. Si se detecta algn tipo de variacin de presin se dispara un sistema de alarma.

1.2.1.7.2 Pisos de Placas Extrables
Los cables de alimentacin, comunicaciones, interconexin de equipos, receptculos aso-
ciados con computadoras y equipos de procesamiento de datos pueden ser, en caso
necesario, alojados en el espacio que, para tal fin se dispone en los pisos de placas extrables,
debajo del mismo.

1.2.1.7.3 Sistema de Aire Acondicionado
Se debe proveer un sistema de calefaccin, ventilacin y aire acondicionado separado, que se
dedique al cuarto de computadoras y equipos de proceso de datos en forma exclusiva. Te-
niendo en cuenta que los aparatos de aire acondicionado son causa potencial de incen-
dios e inundaciones, es recomendable instalar redes de proteccin en todo el sistema de caer-
a al interior y al exterior, detectores y extintores de incendios, monitores y alarmas efectivas.

1.2.1.7.4 Emisiones Electromagnticas
Desde hace tiempo se sospecha que las emisiones de muy baja frecuencia que generan algu-
nos perifricos, son dainas para el ser humano. Segn recomendaciones cientficas estas
emisiones podran reducirse mediante filtros adecuados al rango de las radiofrecuencias, sien-
do estas totalmente seguras para las personas. Para conseguir que las radiaciones sean
mnimas hay que revisar los equipos constantemente y controlar su envejecimiento.

1.2.1.8 Iluminacin
El sistema de iluminacin debe ser apropiado para evitar reflejos en las pantallas, falta de luz
en determinados puntos, y se evitar la incidencia directa del sol sobre los equipos. Las ofici-
nas mal iluminadas son la principal causa de la prdida de la productividad en las organiza-
ciones y de un gasto energtico excesivo. Una iluminacin deficiente provoca dolores de
cabeza y perjudica a los ojos.

1.2.1.9 Seguridad Fsica del Local
Se estudiar el sistema contra incendios, teniendo en cuenta que los materiales sean incom-
bustibles (pintura de las paredes, suelo, techo, mesas, estanteras, etc.). Tambin se estudiar

Pgina 64

la proteccin contra inundaciones y otros peligros fsicos que puedan afectar a la instalacin y
condiciones geogrficas del lugar.

1.2.1.10 Prximos pasos
Es inevitable el seguir creciendo sobre la base instalada y es all donde se hace muy importan-
te el no perder de vista que es necesario reforzar otros elementos para que apoyen la estrate-
gia de escalabilidad y robustecimiento de la seguridad. A continuacin se listan los elementos
importantes que deben de ser tomados en cuenta segn sea el caso:
1.2.1.10.1 Aseguramiento Contra Situaciones Hostiles
Robo de Equipo e Informacin, Fraude electrnico y Sabotaje.
1.2.1.10.2 Control de Accesos
Establecer control de accesos de personas y vehculos, implementacin de detectores de meta-
les, sistemas biomtricos (emisin de calor, huella digital, verificacin de voz, verificacin de
patrones oculares), verificacin automtica de firmas, seguridad con animales, proteccin
electrnica (barreras infrarrojas y de microondas, detectores ultrasnicos, circuitos cerrados,
sonorizacin y dispositivos luminosos).

1.2.1.11 Conclusiones
Evaluar y controlar permanentemente la seguridad fsica del local es la base para comenzar a
integrar la seguridad como una funcin primordial dentro de cualquier organizacin.

Tener controlado el ambiente y acceso fsico permite:
Disminuir siniestros.
Trabajar mejor manteniendo la sensacin de seguridad.
Descartar falsas hiptesis si se produjeran incidentes.
Tener los medios para luchar contra accidentes.

Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado
del medio en el que nos desempeamos; y as tomar decisiones sobre la base de la
informacin brindada por los medios de control adecuados.

Estas decisiones pueden variar desde el conocimiento de las reas que recorren ciertas perso-
nas hasta el extremo donde pueden evacuar el local en caso de accidentes.

1.2.2 Recomendaciones sobre la arquitectura de redes de un CSIRT
En esta seccin se brindan varias recomendaciones sobre: el ambiente fsico, infraestructura
de red, hardware, software, infraestructura de telecomunicaciones y cuatro diagramas que de-
tallan posibles escenarios de implementacin de una topologa de red para un CSIRT segn
sean sus posibilidades y necesidades.

Es importante hacer mencin que este detalle brinda un bosquejo bastante global de los ele-
mentos que tienen que ser tomados en cuenta para la implementacin de una arquitectura de
red para un CSIRT en particular.

Pgina 65

1.2.2.1 Ambiente Fsico
Las reas relevantes a tratar dentro del ambiente fsico son las siguientes:

reas Administrativas: las reas administrativas as como las salas de reuniones o
apoyo podrn ser compartidas con el resto de la organizacin.

reas Operativas: tales como salas de trabajo de los equipos tcnicos, sala de servido-
res y sala de laboratorios son considerados ambientes crticos y debern tener imple-
mentaciones de aspectos de seguridad fsica especfica.

Es importante considerar dentro de todas las reas fsicas cuales pueden ser tomadas como
crticas y cules no. Para los ambientes crticos debern ser contempladas las siguientes ca-
ractersticas de seguridad:

Ambiente aislado de otros departamentos.

Segmentacin del Circuito de Servicios: deben de estar separadas fsicamente las
redes de computadores as como el acceso hacia el Internet.

Acceso restringido al ambiente de trabajo, teniendo puertas con mecanismos de se-
guridad como claves, botones magnticos u otros recursos que permitan acceso res-
tringido y forma de identificar y mantener almacenados los datos de acceso.

Obedecer la poltica de seguridad de informacin del CSIRT y/u organizacin.

Se recomienda que el ambiente fsico contemple ciertas caractersticas de seguridad, como:

Que el acceso y permanencia en el local de terceras personas sea acompaado por in-
tegrantes del CSIRT.

Tener siempre a disposicin medios de proteccin y prevencin: extintores, senso-
res de humo, rociadores, circuito interno de televisin, piso falso, paredes refractarias,
caja fuerte para el almacenamiento de documentos secretos, sistema empresarial de
almacenaje de copias de seguridad.

A continuacin se listan las reas fsicas mnimas que se recomiendan para la implementacin
operativa de un CSIRT:

Recepcin.

Oficina del Director.

Cuarto de Seguridad. (Caja Fuerte)

Sala de Reuniones.

Sala de Archivos y Almacenamiento de Medios.

Pgina 66

Sala de Capacitacin/Entrenamiento.

Sala de Operaciones.

Laboratorio.

Sala de Servidores.

Sanitarios.
Obviamente dentro de una organizacin a la que pertenezca el CSIRT gozar del uso de reas
comunes a todos. (Espacios abiertos, jardines, corredores, sanitarios, reas de parqueo de
vehculos, etc.) De lo contrario, tambin tendrn que ser tomadas en cuenta dentro de su defi-
nicin.

1.2.2.2 Infraestructura de Red
La infraestructura de la red de computadores del CSIRT debe estar separada de la infraestruc-
tura de la organizacin en que est hospedada. El CSIRT debe tener una estructura propia de
subredes y dominios. Red de la organizacin y red del CSIRT.

Se recomienda que el CSIRT tenga una estructura de red de computadores aislada, permitien-
do implementar segmentos de redes con funciones especficas. Al menos deben de existir dos
segmentos dentro de la red CSIRT:

Red para la operacin en ambiente de produccin: para el almacenaje de los datos y
ejecucin de las tareas relativas a los servicios.

Red para tareas de laboratorio: para la aplicacin de pruebas y estudios.

Las redes que se conectan con el ambiente externo (Internet) deben de ser protegidas por me-
dio de dispositivos de seguridad segn su necesidad. (Firewall, Proxy, IDS, IPS, etc.)

1.2.2.3 Hardware
Para que un CSIRT pueda operar con todas sus posibilidades se hace necesario poseer equi-
pos de uso general. En la siguiente tabla se listan los elementos necesarios a ser tomados en
cuenta.

Tabla 10: Listado de equipos de hardware necesarios para un CSIRT

Equipo

Elementos
Equipos y medios
de conectividad
Routers.
Switches.
Hubs.

Pgina 67

Cableado Estructurado.
Enlace con el Internet que cuente con: una velocidad adecuada,
direccin IP vlida / bloque de direcciones IP vlidas.
Dispositivos de seguridad. (Antivirus, IDS, IPS)
Servidores
Firewall.
Deteccin de Intrusos.
Correo electrnico, WEB, NTP, DNS.
Registro de bitcoras de sistemas.
Archivos.
Intranet.
Acceso Remoto (RPV).
Backup.
De Pruebas.
Estaciones de Trabajo
y Equipos Porttiles
Estaciones de trabajo.
Computadoras porttiles.
Accesorios: pen drive, CDs, DVDs, Discos Duros Externos,
Herramientas, etc.
Equipos para la
seguridad en
ambiente fsico
Caja Fuerte a prueba de fuego para almacenar documentos y
copias de seguridad.
Infraestructura de proteccin contra incendios. (Prevencin, de-
teccin y alarma.)
Sistema de refrigeracin y aire acondicionado compatible con las
especificaciones de los equipos adquiridos.
Infraestructura de proteccin contra interrupciones en el suminis-
tro de energa elctrica. (Estabilizadores, nobreaks, grupos de
generadores compartidos con las instalaciones del rgano que
acoger al CSIRT.)
Otros
Proyector multimedia porttil.
Impresora Multifuncional. (Impresora, fax y escner.)
Dispositivos para la realizacin de copias de seguridad: grabado-
res de CD, DVD y Cintas Magnticas.
Trituradora de papel.
Material de Oficina.

1.2.2.4 Software
Dentro de los tipos de software que debe utilizar una organizacin CSIRT se encuentran las
siguientes recomendaciones:

Que los sistemas operacionales de los servidores, estaciones de trabajo y equipos
porttiles utilicen software libre, siempre que esto sea posible.

Procesos de aseguramiento de sistemas.

o Sistemas operacionales.

o Aplicaciones y configuraciones de los equipos utilizados en la red operacional
CSIRT que sigan un patrn y cumplan los siguientes requisitos:

Pgina 68

Estar configurados en modo seguro.

Tengan instaladas las ltimas actualizaciones y correcciones de seguridad.

Poseer sistemas de registro de eventos habilitados. (Bitcoras)

Sistemas de control del flujo de trabajo (Workflow) para el registro y seguimiento de in-
cidentes.

Sistemas de informacin en la Web para recoger informaciones de incidentes y divulga-
cin de alertas, recomendaciones y estadsticas.

Aplicativos de Firewall corporativo para las estaciones de trabajo y equipos porttiles.

Aplicativos para la deteccin y prevencin de intrusos.

Servicios de correo electrnico, Web, NTP y DNS.

Aplicativos de Criptografa y Firma Digital.

Aplicativos para uso en el Laboratorio. (Aplicativos para el anlisis forense)

Utilizacin de programas de virtualizacin de servidores y estaciones de trabajo para
usos internos y de laboratorio.

1.2.2.5 Infraestructura de Telecomunicaciones
A continuacin se listan los componentes necesarios para la implementacin de los servicios
de un CSIRT:

Conexin de Alta Velocidad con el Internet (Mnimo)

PBX, extensiones y correo de voz.

Equipo de FAX

Telefona Mvil para hacer viable la operacin 7x24.

Pgina 69

1.2.2.6 Diagramas Sugeridos
1.2.2.6.1 Esquema Uno: Red Bsica Segura

Figura 11: Diagrama Uno: Red Bsica Segura.
Tabla 11: Detalles sobre un esquema de red bsica segura.

Detalles

Descripcin
Caractersticas

Esquema para brindar servicios reactivos.
No posee redundancia de servidores.
Dos segmentos bsicos de red administrados por un Firewall.
Acceso a Internet mnimo de 2 Mbps.

Pgina 70

Software

Se puede utilizar software libre.

1.2.2.6.2 Esquema Dos: Red Segura Redundante

Figura 12: Diagrama Dos: Red Segura Redundante.

Tabla 12: Detalles sobre un esquema de redes seguras redundantes

Detalles

Descripcin
Caractersticas

Esquema para brindar servicios reactivos.
Con redundancia de servidores.
Dos segmentos de red regulados por Firewalls.
Acceso a Internet mnimo de 2 Mbps.

Pgina 71

Software

Se puede utilizar software libre.

1.2.2.6.3 Esquema Tres: Red Segura Segmentada y Redundante

Figura 13: Diagrama Tres: Red Segura Segmentada y Redundante.
Tabla 13: Detalles sobre un esquema de redes seguras segmentadas y redundantes.

Detalles

Descripcin
Caractersticas
Esquema para brindar servicios reactivos y proactivos.
Sensores y servidor con Sistema de Deteccin de Intrusos (IDS).
Con redundancia de servidores.
Enlaces a Internet Redundantes.
Alta disponibilidad en los servicios.
Tres segmentos de red para servicios de la organizacin.

Pgina 72

Una red especializada para pruebas. (Laboratorio de Pruebas)
Accesos entre segmentos regulados por varios Firewalls.
Acceso a Internet
o Enlace principal a 8 Mbps.
o Enlace secundario para pruebas a 2 Mbps.
Software Se puede utilizar software libre.

1.2.2.6.4 Esquema Cuatro: Red Segura Segmentada Separada de la Organizacin

Figura 14: Diagrama Cuatro: Red Segura Segmentada separada de la Organizacin.
Tabla 14: Detalles sobre un esquema de red segmentada separada de la organizacin.

Detalles

Descripcin
Caractersticas
Esquema para brindar servicios reactivos y proactivos.
Separacin fsica de la red CSIRT y de la organizacin.
Enlaces para el acceso al Internet redundantes para la red CSIRT.

Pgina 73

Sensores y Servidor con Sistema de Deteccin de Intrusos (IDS).
Red aislada para Pruebas de laboratorio.
Tres redes diferentes.
Niveles de acceso internos regulado por los Firewalls entre la Orga-
nizacin y el CSIRT.
Acceso a Internet
o Enlace de la Organizacin: 2 Mbps.
o Enlaces redundantes CSIRT: 4 Mbps.
o Enlace para red de Laboratorio: 2 Mbps.
Software Se puede utilizar software libre.
1.2.3 Servicios informticos iniciales de un CSIRT

Los servicios informticos que brinde un CSIRT deben de ir de la mano del tipo de servicios
que otorgue el CSIRT a su comunidad. Para ello es relevante tener claro que tipos de servicio
brindar el CSIRT y sus respectivas necesidades de servicios informticos que tiene que im-
plementar.

1.2.3.1 Servicios CSIRT
Un CSIRT puede realizar funciones proactivas, reactivas y de investigacin para ayudar a pro-
teger y asegurar los bienes crticos de una organizacin o de una comunidad. No hay un grupo
de funciones o servicios estndares que pueda ofrecer un CSIRT. Cada equipo elige sus ser-
vicios basados en las necesidades de su rea de cobertura de servicio.

Para detallar esto se presenta la siguiente tabla:

Tabla 15: Servicios CSIRT.

Servicio

Procesos
Servicios Reactivos
Servicio de alertas.
Gestin de incidentes.
o Anlisis de incidentes.
o Respuesta a incidentes en sitio.
o Soporte de respuesta a incidentes.
o Coordinacin de respuesta a incidentes.
Gestin de vulnerabilidades.
o Anlisis de vulnerabilidades.
o Respuesta a vulnerabilidades.
o Coordinacin de respuesta a vulnerabilidades.
Gestin de Artefactos (*).
o Anlisis.
o Respuesta.
o Coordinacin de la respuesta.
Servicios Proactivos
Comunicados.
Vigilancia tecnolgica.

Pgina 74

Auditoras de seguridad o evaluaciones.
Configuracin y mantenimiento de seguridad, herramientas y
aplicaciones e infraestructura.
Desarrollo de herramientas de seguridad.
Servicios de deteccin de intrusos.
Difusin de informacin relacionada con la seguridad.
Calidad de los
servicios de gestin
de la seguridad
Anlisis de riesgos.
Continuidad de negocio y plan de recuperacin de desastres.
Sensibilizacin en seguridad.
Educacin / Entrenamiento.
Evaluacin de productos o certificacin.
(*) Artefacto: herramientas, programas o porciones de cdigo utilizadas por los atacantes para
lograr vulnerar la seguridad de un sistema.

Debe tenerse en cuenta que algunos servicios tienen tanto un aspecto reactivo como uno pro-
activo. Por ejemplo, la gestin de vulnerabilidades puede realizarse en respuesta al descubri-
miento de una vulnerabilidad que est siendo activamente explotada. Pero tambin puede
hacerse proactivamente revisando y testeando cdigo para determinar dnde hay vulnerabili-
dades, por lo tanto los problemas pueden ser reparados antes de que sean ampliamente cono-
cidos o explotados.

Algunos equipos pueden ofrecer muchos servicios de esta lista; otros pueden tener capacidad
para proveer algunos pocos; an otros equipos pueden compartir la responsabilidad de proveer
estos servicios con otras partes de la organizacin de la que dependen, o pueden tercerizar
algunos servicios para respuesta a un incidente o contratar a un proveedor de servicios de ges-
tin de la seguridad.

La experiencia ha demostrado que cualquiera que sean los servicios que un CSIRT elige ofre-
cer, la organizacin de la que dependen o gerencia debe asegurar que el equipo tiene los re-
cursos necesarios (gente, experiencia tcnica, equipamiento e infraestructura) para proveer un
servicio valioso para los miembros del rea de cobertura, o el CSIRT no tendr xito y sus des-
tinatarios no informarn incidentes al equipo.

Adems, como hay cambios constantes en la tecnologa y el uso de Internet, pueden emerger
otros servicios que necesiten ser provistos por un CSIRT. Esta lista de servicios por lo tanto
necesitar evolucionar y cambiar con el transcurso del tiempo.

1.2.3.2 Servicios informticos de un CSIRT
Los servicios informticos de un CSIRT deben estar acorde a la administracin de la seguridad
de la organizacin y deben dividir sus tareas en tres grupos relevantes:

Autenticacin: establecer las entidades que pueden tener acceso al universo de
recursos de cmputo que posee un CSIRT.

Pgina 75

Autorizacin: es el hecho de que las entidades autorizadas a tener acceso a
los recursos de cmputo, tengan acceso nicamente a las reas de trabajo sobre
las cuales ellas deben tener dominio.

Auditora: se refiere a la continua vigilancia de los servicios en produccin. Entra de-
ntro de este grupo el mantener estadsticas de acceso, estadsticas de uso y
polticas de acceso fsico a los recursos.
Los servicios informticos para un CSIRT, y especficamente, la definicin de los sistemas in-
formticos necesarios para su operacin deben de ser consistentes con los mtodos de protec-
cin que el CSIRT posea.
A continuacin se listan los mtodos de proteccin ms comnmente empleados dentro de una
estructura CSIRT.

Tabla 16: Mtodos comnmente utilizados para la proteccin en un CSIRT.

Mtodo

Descripcin
Sistemas de
Deteccin de Intrusos

Permiten analizar las bitcoras de los sistemas en busca de pa-
trones de comportamiento o eventos que puedan considerarse
sospechosos, sobre la base de la informacin con la que han sido
previamente alimentados. Pueden considerarse como monitores.

Sistemas Orientados
a la Conexin de Red

Monitorean las conexiones que se intentan establecer en una
red o equipo en particular, siendo capaces de efectuar una ac-
cin sobre la base de mtricas como: origen y destino de la
conexin, servicio solicitado, permisos, etc. Las acciones que
pueden emprender suelen ir desde el rechazo de la conexin
hasta alerta al administrador.

Sistemas de Anlisis
de Vulnerabilidades

Analizan sistemas en busca de vulnerabilidades conocidas
anticipadamente. La desventaja de estos sistemas es que pue-
den ser utilizados tanto por personas autorizadas como por
personas que buscan acceso no autorizado al sistema.

Sistemas de Proteccin
de Integridad
de Informacin

Sistemas que mediante criptografa o sumas de verificacin
tratan de asegurar que no ha habido alteraciones inde-
seadas en la informacin que se intenta proteger.

Sistemas de Proteccin
a la Privacidad de
la Informacin

Herramientas que utilizan criptografa para asegurar que la infor-
macin slo sea visible para quien tiene autorizacin. Su aplica-
cin se realiza principalmente en las comunicaciones entre dos
entidades.

Pgina 76

Resumiendo, un modelo de seguridad debe de estar formado por mltiples componentes o ca-
pas que pueden ser incorporadas a la organizacin CSIRT segn vaya madurando en la im-
plementacin y aplicacin de los mtodos de proteccin mencionados. Puntualmente se brinda
un listado de aplicaciones de software que entran dentro del esquema de los distintos mtodos
de proteccin y que son elementos fundamentales para operativizar los distintos servicios in-
formticos que posea un CSIRT.

1.2.3.2.1 Aplicaciones que apoyan la implementacin de los servicios informti-
cos CSIRT
1.2.3.2.1.1 Sistema de Seguimiento de Incidentes
Denominado en ingls como issue tracking system, trouble ticket system o incident ticket sys-
tem. Es un paquete de software que administra y mantiene listas de incidentes, conforme son
requeridos. Los sistemas de este tipo son comnmente usados en la central de llamadas de
servicio al cliente de una organizacin para crear, actualizar y resolver incidentes reportados
por usuarios, o inclusive incidentes reportados por otros empleados de la organizacin. Un sis-
tema de seguimiento de incidencias tambin contiene una base de conocimiento que contiene
informacin de cada cliente, soluciones a problemas comunes y otros datos relacionados. Un
sistema de reportes de incidencias es similar a un Sistema de seguimiento de errores (bugtrac-
ker) y, en algunas ocasiones, una compaa de software puede tener ambos, y algunos bug-
trackers pueden ser usados como un sistema de seguimiento de incidentes, y viceversa.

1.2.3.2.1.2 Correo Electrnico Seguro
El empleo de certificados personales de empresa le ayudar a asegurar sus comunicaciones a
travs del correo electrnico. Por un lado podr firmar sus mensajes desde los clientes de co-
rreo de mayor uso en la actualidad, garantizando de esta manera su autenticidad (que el emi-
sor del mensaje es quien dice ser), integridad (que el contenido del mensaje no ha sido altera-
do) y no repudio (que no se podr negar la autora del mensaje). El proceso de firma de un e-
mail se basa en la criptografa de clave pblica o asimtrica y puede resumirse de la siguiente
forma: el emisor crear un resumen a partir del propio mensaje (hash) y lo cifrar con su clave
privada, este resumen ser enviado junto con el mensaje original al receptor, el cual, al recibir-
lo, descifrar el hash recibido al tiempo que crear un nuevo resumen del mensaje que le llega.
Si al comparar ambos hash stos son idnticos la firma ser vlida. Este proceso, que en la
teora resulta algo complejo, se hace totalmente transparente al usuario a travs de las aplica-
ciones de gestin de correo. Por otro lado, de manera alternativa o complementaria a la firma
de un documento, a travs de un certificado personal de empresa podremos cifrar el contenido
de un mensaje, garantizando de esta manera la confidencialidad del mismo, ya que slo el re-
ceptor del mensaje encriptado podr desencriptarlo. El procedimiento de cifrado es inverso al
de firma: el emisor cifrar el mensaje con la clave pblica del receptor, por lo que ste ser el
nico que podr descifrarlo usando su clave privada (que slo l conoce).

Pgina 77

1.2.3.2.1.3 Sistemas de Comunicaciones Seguras
Existen varios sistemas de comunicaciones seguras en el mercado. Es importante saber qu
tipo de seguridad brinda y es por ello que se brinda un listado que describe las caractersticas
ms importantes de cada uno:

SSH (Secure Shell), stelnet: SSH y stelnet son programas que le permiten efectuar co-
nexiones con sistemas remotos y mantener una conexin cifrada. Con esto evitamos,
entre otras cosas, que las claves circulen por la red sin cifrar.

Cryptographic IP Encapsulation (CIPE): CIPE cifra los datos a nivel de red. El viaje de
los paquetes entre hosts se hace cifrado. A diferencia de SSH que cifra los datos por
conexin, lo hace a nivel de socket. As como una conexin lgica entre programas que
se ejecutan en hosts diferentes, est cifrada. CIPE se puede usar en tunnelling para
crear una Red Virtual Privada (RPV). El cifrado a bajo nivel tiene la ventaja de poder
hacer trabajar la red de forma transparente entre las dos redes conectadas en la RPV
sin ningn cambio en el software de aplicacin.

SSL: o Secure Sockets Layer, proporciona los siguientes servicios:

o Cifrado de datos: la informacin transferida, aunque caiga en manos de un atacante,
ser indescifrable, garantizando as la confidencialidad.

o Autenticacin de servidores: el usuario puede asegurarse de la identidad del servi-
dor al que se conecta y al que posiblemente enve informacin personal confiden-
cial.

o Integridad de mensajes: impide que modificaciones intencionadas o accidentales en
la informacin pasen inadvertidas cuando viaja por el Internet.

o Opcionalmente, autenticacin de cliente: permite al servidor conocer la identidad del
usuario, con el fin de decidir si puede acceder a ciertas reas protegidas.

1.2.3.2.1.4 Firewall
Es una parte de un sistema o una red que est diseado para bloquear el acceso no autoriza-
do, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o con-
junto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los dife-
rentes mbitos sobre la base de un conjunto de normas y otros criterios. Pueden ser imple-
mentados en hardware o software, o una combinacin de ambos. Se utilizan con frecuencia
para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conec-
tadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intra-
net pasan a travs de l, examina cada mensaje y bloquea aquellos que no cumplen los crite-
rios de seguridad especificados. Tambin es frecuente conectar una tercera red, llamada zona
desmilitarizada o DMZ, en la que se ubican los servidores de la organizacin que deben per-
manecer accesibles desde la red exterior. Correctamente configurado aade una proteccin
necesaria a la red, pero que en ningn caso debe considerarse suficiente. La seguridad in-
formtica abarca ms mbitos y ms niveles de trabajo y proteccin.

Pgina 78

1.2.3.2.1.5 Wrappers
Un Wrapper es un programa que controla el acceso a un segundo programa. El Wrap-
per literalmente cubre la identidad de este segundo programa, obteniendo con esto un
ms alto nivel de seguridad. Los Wrappers son usados dentro de la seguridad en sis-
temas UNIXs. Estos programas nacieron por la necesidad de modificar el comportamien-
to del sistema operativo sin tener que modificar su funcionamiento.

Los Wrappers son ampliamente utilizados, y han llegado a formar parte de
herramientas de seguridad por las siguientes razones:

Debido a que la seguridad lgica est concentrada en un solo programa, los
Wrappers son fciles y simples de validar.

Debido a que el programa protegido se mantiene como una entidad separada, ste
puede ser actualizado sin necesidad de cambiar el Wrapper.

Debido a que los Wrappers llaman al programa protegido mediante llamadas
estndar al sistema, se puede usar un solo Wrapper para controlar el acceso a
diversos programas que se necesiten proteger.

Permite un control de accesos exhaustivo de los servicios de comunicaciones,
adems de buena capacidad de Logs y auditoras de peticiones a dichos servicios, ya
sean autorizados o no.

1.2.3.2.1.6 Listas de Control de Acceso
Las Listas de Control de Accesos (ACL) proveen de un nivel de seguridad adicional a
los clsicos provistos por los Sistemas Operativos. Estas listas permiten definir permisos
a usuarios y grupos concretos. Por ejemplo pueden definirse sobre un Proxy una lista de todos
los usuarios (o grupos de ellos) a quien se les permite el acceso a Internet, FTP, etc. Tambin
podrn definirse otras caractersticas como limitaciones de anchos de banda y horarios.

1.2.3.2.1.7 HoneyPot
Es el software o conjunto de computadores cuya intencin es atraer a atacantes, simulando ser
sistemas vulnerables o dbiles a los ataques. Es una herramienta de seguridad informtica
utilizada para recoger informacin sobre los atacantes y sus tcnicas. Los Honeypots pueden
distraer a los atacantes de las mquinas ms importantes del sistema, y advertir rpidamente al
administrador del sistema de un ataque, adems de permitir un examen en profundidad del
atacante, durante y despus del ataque al honeypot.

Algunos honeypots son programas que se limitan a simular sistemas operativos no existentes
en la realidad y se les conoce como honeypots de baja interaccin y son usados fundamental-
mente como medida de seguridad. Otros sin embargo trabajan sobre sistemas operativos re-
ales y son capaces de reunir mucha ms informacin; sus fines suelen ser de investigacin y
se los conoce como honeypots de alta interaccin.

Pgina 79

Un tipo especial de honeypot de baja interaccin son los sticky honeypots (honeypots pegajo-
sos) cuya misin fundamental es la de reducir la velocidad de los ataques automatizados y los
rastreos.

En el grupo de los honeypots de alta interaccin nos encontramos tambin con los honeynet.

Tambin se llama honeypot a un website o sala de Chat, que se ha creado para descubrir a
otro tipo de usuarios con intenciones criminales.

1.2.3.2.1.8 Sistemas de Deteccin de Intrusos
Un sistema de deteccin de intrusos (IDS) es un componente ms dentro del modelo
de seguridad de una organizacin. Consiste en detectar actividades inapropiadas, incorrec-
tas o anmalas desde el exteriorinterior de un sistema informtico.

Los sistemas de deteccin de intrusos pueden clasificarse, segn su funcin y compor-
tamiento en:

HostBased IDS: operan en un host para detectar actividad maliciosa en el mismo.

NetworkBased IDS: operan sobre los flujos de informacin intercambiados en una
red.

KnowledgeBased IDS: sistemas basados en Conocimiento.

BehaviorBased IDS: sistemas basados en Comportamiento. Se asume que una in-
trusin puede ser detectada observando una desviacin respecto del
comportamiento normal o esperado de un usuario en el sistema.

La idea central de este tipo de deteccin es el hecho de que la actividad intrusiva es un conjun-
to de actividades anmalas. Si alguien consigue entrar de forma ilegal al sistema, no ac-
tuar como un usuario comprometido; su comportamiento se alejar del de un usuario normal.

Sin embargo en la mayora de las ocasiones una actividad intrusiva resulta del agrega-
do de otras actividades individuales que por s solas no constituyen un comportamiento intrusi-
vo de ningn tipo. As las intrusiones pueden clasificarse en:

Intrusivas pero no anmalas: denominados Falsos Negativos (el sistema err-
neamente indica ausencia de intrusin). En este caso la actividad es intrusiva pero co-
mo no es anmala no es detectada. No son deseables, porque dan una falsa sensacin
de seguridad del sistema.

No intrusivas pero anmalas: denominados Falsos Positivos (el sistema err-
neamente indica la existencia de intrusin). En este caso la actividad es no in-
trusiva, pero como es anmala el sistema decide que es intrusiva. Deben inten-
tar minimizarse, ya que en caso contrario se ignorarn los avisos del sistema, incluso
cuando sean acertados.

Pgina 80

No intrusiva ni anmala: son Negativos Verdaderos, la actividad es no intrusiva y se
indica como tal.

Intrusiva y anmala: se denominan Positivos Verdaderos, la actividad es intrusiva y es
detectada.

Los detectores de intrusiones anmalas requieren mucho gasto computacional, ya que se si-
guen normalmente varias mtricas para determinar cunto se aleja el usuario de lo que se con-
sidera comportamiento normal.

1.2.3.2.1.9 Call Back
Este procedimiento es utilizado para verificar la autenticidad de una llamada va Modem.
El usuario llama, se autentifica contra el sistema, se desconecta y luego el servidor se conecta
al nmero que en teora pertenece al usuario. La ventaja reside en que si un intruso desea
hacerse pasar por el usuario, la llamada se devolver al usuario legal y no al del intruso, sien-
do este desconectado. Como precaucin adicional, el usuario deber verificar que la llamada
(retorno) proceda del nmero a donde llam previamente.

1.2.3.2.1.10 Gestor de Contraseas
Es un programa que se utiliza para almacenar una gran cantidad de parejas usua-
rio/contrasea. La base de datos donde se guarda esta informacin est cifrada mediante una
nica clave (contrasea maestra o en ingls master password), de forma que el usuario slo
tenga que memorizar una clave para acceder a todas las dems. Esto facilita la administracin
de contraseas y fomenta que los usuarios escojan claves complejas sin miedo a no ser capa-
ces de recordarlas posteriormente.

1.2.3.2.1.11 Anti Sniffers
Esta tcnica consiste en detectar Sniffers en el sistema. Generalmente estos programas se
basan en verificar el estado de la tarjeta de red, para detectar el modo en el cual
est actuando (recordar que un Sniffer la coloca en Modo Promiscuo) y el trfico de datos en
ella.

1.2.3.2.1.12 Herramientas Criptogrficas
Tales como:

Criptografa: la palabra Criptografa proviene etimolgicamente del griego (Kriptos:
Oculto) y (Grafo: Escritura) y significa arte de escribir con clave secreta o de un modo
enigmtico. Hace varios aos que dej de ser un arte para convertirse en una
tcnica (o conjunto de ellas) que tratan sobre la proteccin (ocultamiento ante
personas no autorizadas) de la informacin. Entre las disciplinas que engloba ca-
be destacar la Teora de la Informacin, la Matemtica Discreta, la Teora de los Gran-
des Nmeros y la Complejidad Algortmica. Es decir que la Criptografa es la cien-
cia que consiste en transformar un mensaje inteligible en otro que no lo es (median-
te claves que slo el emisor y el destinatario conocen), para despus devolverlo a su

Pgina 81

forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo.
El mensaje cifrado recibe el nombre de Criptograma.

Criptoanlisis: Es el arte de estudiar los mensajes ilegibles, encriptados, para
transformarlos en legibles sin conocer la clave, auque el mtodo de cifrado empleado
siempre es conocido.

Criptosistema: todo Criptosistema cumple la condicin DK(EK(m)) =m es decir, que si
se tiene un mensaje m, se cifra empleando la clave K y luego se descifra empleando la
misma clave, se obtiene el mensaje original m. Existen dos tipos fundamentales de
Criptosistemas utilizados para cifrar datos e informacin digital y ser enviados poste-
riormente despus por medios de transmisin libre.

o Simtricos o de clave privada: se emplea la misma clave K para cifrar y descifrar,
por lo tanto el emisor y el receptor deben poseer la clave. El mayor inconveniente
que presentan es que se debe contar con un canal seguro para la transmi-
sin de dicha clave.

o Asimtricos o de llave pblica: se emplea una doble clave conocidas como
Kp (clave privada) y KP (clave Pblica). Una de ellas es utilizada para
la transformacin E de cifrado y la otra para el descifrado D. En muchos de
los sistemas existentes estas clave son intercambiables, es decir que si empleamos
una para cifrar se utiliza la otra para descifrar y viceversa.

o Entre los algoritmos utilizados se encuentran: Transposicin, Cifrados Monoal-
fabticos (Algoritmo de Csar y Sustitucin General).

Al goritmos Simtricos: La mayora de los algoritmos simtricos actuales se apo-
yan en los conceptos de Confusin y Difusin, estos mtodos consisten en ocultar la
relacin entre el texto plano, el texto cifrado y la clave (Confusin); y repartir la influen-
cia de cada bit del mensaje original lo ms posible entre el mensaje cifrado (Difusin).
A continuacin se listan algunos algoritmos: Redes de Feistel, DES, DES Triple, IDEA,
Blowfish, RC5, CAST, Rijndael (AES).

Al goritmos Asimtricos (Llave Privada / Llave Pblica): Su principal caracterstica es
que no se basa en una nica clave sino en un par de ellas: una conocida (Pblica) y
otra Privada. Actualmente existen muchos algoritmos de este tipo pero han de-
mostrado ser poco utilizables en la prctica ya sea por la longitud de las clave, la longi-
tud del texto encriptado generado o su velocidad de cifrado extremadamente largos.

o RSA: es el ms empleado en la actualidad, sencillo de comprender e implementar,
aunque la longitud de sus claves es bastante considerable (ha pasado desde sus
200 bits originales a 2048 actualmente).

o Curvas Elpticas (CEE): la eficiencia de este algoritmo radica en la longitud
reducida de las claves, lo cual permite su implementacin en sistemas de ba-
jos recursos como telfonos celulares y Smart Cards.

Pgina 82

Puede hacerse la siguiente comparacin con RSA, obteniendo el mismo nivel
de seguridad:

CCE de 163 bits =RSA de 1024 bits
CCE de 224 bits =RSA de 2048 bits

Autentificacin: Se entiende por Autentificacin cualquier mtodo que permita ga-
rantizar alguna caracterstica sobre un objeto dado.

o Firmas Digitales: Una firma digital se logra mediante una Funcin Hash de Resu-
men. Esta funcin se encarga de obtener una muestra nica del mensaje original.
Dicha muestra es ms pequea y es muy difcil encontrar otro mensaje que tenga la
misma firma. Las funciones Hash estn basadas en que un mensaje de longi-
tud arbitraria se transforma en un mensaje de longitud constante dividiendo el
mensaje en partes iguales, aplicando la funcin de transformacin a cada parte y
sumando todos los resultados obtenidos. Actualmente se recomienda utilizar firmas
de al menos 128 bits (38 dgitos) siendo 160 bits (48 dgitos) el valor ms utilizado.

o MD5: El Message Diggest 5 procesa los mensajes de entrada en bloques de 512, y
produce una salida de 128 bits.

o SHA-1: genera firmas de 160 bits a partir de bloques de 512 bits del mensaje origi-
nal.

PGP (Pretty Good Privacy): es un programa desarrollado por Phil Zimmermann y cuya
finalidad es proteger la informacin distribuida a travs de Internet mediante el uso de
criptografa de clave pblica, as como facilitar la autenticacin de documentos gracias a
firmas digitales. Utilizado correctamente, PGP puede proporcionar un gran nivel de se-
guridad. A diferencia de protocolos de seguridad como SSL, que slo protege los datos
en trnsito (es decir, mientras se transmiten a travs de la red), PGP tambin puede uti-
lizarse para proteger datos almacenados en discos, copias de seguridad, etctera. PGP
usa una funcin de 4 claves.

Esteganografa: consiste en ocultar en el interior de informacin aparentemente
inocua, otro tipo de informacin (cifrada o no). El texto se enva como texto plano, pe-
ro entremezclado con mucha cantidad de basura que sirve de camuflaje al mensaje
enviado. El mtodo de recuperacin y lectura slo es conocido por el destinatario del
mensaje y se conoce como separar el grano de la paja. Los mensajes suelen ir ocul-
tos entre archivos de sonido o imgenes y ser enormemente grandes por la cantidad ex-
tra de informacin enviada (a comparacin del mensaje original).

1.2.3.2.1.13 Aplicaciones de aseguramiento de protocolos y servicios
Cuando se implementan aplicaciones informticas se instalan servicios que estn asociados a
protocolos que permiten su funcionalidad bajo un ambiente determinado. Cada uno de los pro-
tocolos y servicios tienen su debilidad ya sea en su implementacin o en su uso.

Ya que es necesaria la conectividad entre equipos, se ha de ofrecer los mnimos servi-
cios necesarios para que todo funcione correctamente; esto choca frontalmente con las polti-

Pgina 83

cas de la mayora de fabricantes y empresas, que por defecto mantienen la mayora de
servicios abiertos al instalar un equipo nuevo: es responsabilidad del administrador preocupar-
se de cerrar los que no sean estrictamente necesarios.

A continuacin se brinda un listado de los protocolos y servicios comunes dentro de la imple-
mentacin de una red informtica: NetBIOS, ICMP, FINGER, POP, NNTP, NTP, TFTP, FTP,
TELNET, SMTP, Servidores Web.

1.2.3.2.1.14 Otros Protocolos de Seguridad

SSH (Secure SHell, en espaol: intrprete de rdenes segura): es el nombre de un pro-
tocolo y del programa que lo implementa, y sirve para acceder a mquinas remotas a
travs de una red. Permite manejar por completo la computadora mediante un intrprete
de comandos, y tambin puede redirigir el trfico de X para poder ejecutar programas
grficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo. Adems de
la conexin a otras mquinas, SSH nos permite copiar datos de forma segura (tanto fi-
cheros sueltos como simular sesiones FTP cifradas), gestionar claves RSA para no es-
cribir claves al conectar a las mquinas y pasar los datos de cualquier otra aplicacin
por un canal seguro tunelizado mediante SSH.

S/MIME: El protocolo MIME Seguro fue propuesto por la empresa RSA y des-
pus de su aparicin fue propuesto como estndar por la IETF pero por proble-
mas de derechos y restricciones de patentes no pudo ser posible. Utiliza tcnicas si-
milares a PGP e incorpora certificados X.509. Aunque no cuente con el apoyo necesa-
rio para ser considerado un estndar, est implementado en muchos programas de co-
rreo electrnico. Tiene la ventaja sobre PGP, que al utilizar Autoridades de Certifica-
cin, es ideal para ser utilizado por empresas y para el comercio electrnico.

SOCKS: En sus orgenes este protocolo fue aprobado por el IETF como un
estndar para la autentificacin ante un Firewalls. Actualmente, y combinado con SSL
provee las bases para construir RPV altamente seguras. Socks permite la conexin
de equipos situados tras un Firewall. Inicialmente fue pensado para permitir el ac-
ceso desde una red interna a servicios disponibles en el exterior, sin embargo puede
emplearse en sentido contrario, para el acceso desde el exterior de la organiza-
cin (protegida con un Firewall). La conexin es validada por el sistema de autentifica-
cin y despus el servidor Socks acta de intermediario con la aplicacin situada en el
servidor destino. Socks actua de envoltura sobre el protocolo UDPTCP permitiendo
que los equipos protegidos por el Firewall puedan conectarse a una red insegura, utili-
zando su propia direccin y devolviendo los resultados al cliente. Debe notarse que
Socks slo autentifica las conexiones pero no produce ningn tipo de cifrado de los da-
tos por lo que se hace necesario combinarlo con algn algoritmo que si lo haga (SSH,
SSL, PPTP, IPSec, etc).

Kerberos: es un protocolo de autenticacin de redes de ordenador que permite a dos
computadores en una red insegura demostrar su identidad mutuamente de manera se-
gura. Sus diseadores se concentraron primeramente en un modelo de cliente-servidor,
y brinda autenticacin mutua: tanto cliente como servidor verifican la identidad uno del
otro. Los mensajes de autenticacin estn protegidos para evitar eavesdropping (escu-

Pgina 84

char secretamente) y ataques de Replay (Ataques de Reinyeccin). Kerberos se basa
en criptografa de clave simtrica y requiere un tercero de confianza. Adems, existen
extensiones del protocolo para poder utilizar criptografa de clave asimtrica.

1.2.3.2.1.15 Redes Privadas Virtuales (RPV)
La tecnologa de RPV proporciona un medio para usar el canal pblico de Internet co-
mo un canal apropiado para comunicar los datos privados. Con la tecnologa de encriptacin y
encapsulamiento, una RPV bsica, crea un pasillo privado a travs de una red insegura. Es
decir que la red pblica slo proporciona la infraestructura para enviar los datos.

El objetivo fundamental de una RPV es proteger los datos durante la transmisin a travs de la
red, permitiendo el uso de redes pblicas como si fueran privadas (virtualmente privadas). Esta
proteccin previene el mal uso, modificacin, uso no autorizado e interrupciones de acceso a
la informacin mientras atraviesa los distintos segmentos de la red (o redes).

Una RPV no protege la informacin mientras est alojada en el origen, o cuando llega y se
aloja en su destino. Tambin puede dejar expuesto los datos durante alguno de los
procesos de encriptacin en la red (redes internas antes de la encriptacin o redes ex-
ternas despus de la desencriptacin). Una RPV solo protege los aspectos de protec-
cin en la comunicacin, no protege la informacin alojada en el disco o impresa en pantalla.

1.2.3.2.1.16 Software Anti virus
Los antivirus nacieron como una herramienta simple cuyo objetivo fuera detectar y eliminar vi-
rus informticos, con el transcurso del tiempo, la aparicin de sistemas operativos ms avanza-
dos e Internet, los antivirus han evolucionado hacia programas ms avanzados que no slo
buscan detectar un Virus informtico, sino bloquear, desinfectar y prevenir una infeccin de los
mismos, as como actualmente ya son capaces de reconocer otros tipos de malware, como
spyware, rootkits, etc.

El funcionamiento de un antivirus vara de uno a otro, aunque su comportamiento normal se
basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas fir-
mas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y
hacia un ordenador.

Adicionalmente, muchos de los antivirus actuales han incorporado funciones de deteccin pro-
activa, que no se basan en una lista de malware conocido, sino que analizan el comportamiento
de los archivos o comunicaciones para detectar cules son potencialmente dainas para el
computador, con tcnicas como Heurstica, HIPS, etc.
Usualmente, un antivirus tiene un (o varios) componente residente en memoria que se encarga
de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y transmiti-
dos en tiempo real, es decir, mientras el ordenador est en uso.

Asimismo, cuentan con un componente de anlisis bajo demando (los conocidos scanners, ex-
ploradores, etc.), y mdulos de proteccin de correo electrnico, Internet, etc.

Pgina 85

El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas
informticas que puedan afectar un computador y bloquearlas antes de que la misma pueda
infectar un equipo, o poder eliminarla tras la infeccin. Actualmente hay una gran mayora de
antivirus pero no todos se asemejan al pretendido por todos, un antivirus eficaz en todos los
sentidos.

1.2.3.2.1.17 Herramientas de anlisis Forense
La Informtica Forense es una ciencia relativamente nueva y no existen estndares aceptados,
aunque algunos proyectos estn en desarrollo.

En la actualidad existen varias herramientas que nos sirven para realizar anlisis forenses in-
formticos sobre:

Recuperacin de evidencias en Discos Duros.

Recuperacin de contraseas.

Deteccin y recuperacin de Virus, Troyanos y Spyware.

Seguridad en el correo electrnico (Hoax).

Anlisis de redes P2P.

Mviles y tarjetas SIM.

Procesos en el computador del usuario.

Anonimato.

Investigacin de informacin.

1.2.3.2.1.18 Voz sobre IP (VoIP)
Voz sobre Protocolo de Internet, tambin llamado Voz sobre IP, VozIP, VoIP (por sus siglas en
ingls), es un grupo de recursos que hacen posible que la seal de voz viaje a travs de Inter-
net empleando un protocolo IP (Internet Protocol). Esto significa que se enva la seal de voz
en forma digital en paquetes en lugar de enviarla (en forma digital o analgica) a travs de cir-
cuitos utilizables slo para telefona como una compaa telefnica convencional o PSTN (sigla
de Public Switched Telephone Network, Red Telefnica Pblica Conmutada).

Los Protocolos que son usados para llevar las seales de voz sobre la red IP son comnmente
referidos como protocolos de Voz sobre IP o protocolos IP. El trfico de Voz sobre IP puede
circular por cualquier red IP, incluyendo aquellas conectadas a Internet, como por ejemplo re-
des de rea local (LAN).

Es muy importante diferenciar entre Voz sobre IP (VoIP) y Telefona sobre IP:

Pgina 86

VoIP es el conjunto de normas, dispositivos, protocolos, en definitiva la tecnologa que
permite la transmisin de la voz sobre el protocolo IP.

Telefona sobre IP es el conjunto de nuevas funcionalidades de la telefona, es decir, en
lo que se convierte la telefona tradicional debido a los servicios que finalmente se pue-
den llegar a ofrecer gracias a poder portar la voz sobre el protocolo IP en redes de da-
tos.

1.3 Beneficios en la implementacin de un CSIRT as como su anlisis
situacional e implementacin de su Presupuesto de Inversin y
Funcionamiento
1.3.1 Beneficios en la implementacin de un CSIRT
Un Centro de Respuesta a Incidentes de Seguridad Informtica tiene como beneficio principal
la capacidad que le brindar a su comunidad en poderles proveer un servicio en el manejo de
una respuesta rpida que permita contener un incidente de seguridad informtica y segn sea
el caso el poder posibilitar la recuperacin del dao causado por el mismo. Las relaciones o
alianzas con pares que tenga el centro as como el acceso compartido a estrategias de res-
puesta y alertas tempranas hacen ms efectiva su operacin.

Tambin contribuyen en procesos de aseguramiento de sistemas, identificacin de vulnerabili-
dades hasta la deteccin de incidentes.

A continuacin se listan los beneficios que se obtiene al tener un CSIRT:

Un punto de contacto focal y confiable dentro de la comunidad para el manejo de inci-
dentes de seguridad informtica.

Promueve un desarrollo en la utilizacin de infraestructura tecnolgica basado en las
buenas y mejores prcticas para la adecuada coordinacin de la respuesta a incidentes
de seguridad informtica.

Un punto especializado y asesor para la proteccin de las distintas actividades inform-
ticas de los sectores que conforman su comunidad objetivo.

Brinda informacin sobre vulnerabilidades y las asocia con sus respectivas recomenda-
ciones para la su mitigacin y/o control.

Provee servicios de publicacin de informacin eficaces con la finalidad de socializar la
cultura de seguridad informtica.

Participa y comparte experiencias con equipos similares y proveedores de servicios de
seguridad informtica para su promocin y actualizacin, as como para el estableci-
miento de mejores estrategias para el manejo de incidentes de seguridad informtica.

Administra puntos de contacto con otros CSIRT para respaldar las distintas estrategias
de seguridad informtica en un sentido ms global.

Pgina 87

Apoya a otras instituciones que lo requieran a desarrollar capacidades propias para el
manejo de incidentes as como la implantacin de buenas y mejores prcticas de segu-
ridad informtica.

Posee un equipo personal especializado en constante proceso de actualizacin con la
intencin de brindar servicios de soporte informticos con un alto nivel de eficacia y efi-
ciencia a los distintos requerimientos que la comunidad demande de su respectivo
CSIRT.

Promueve y desarrolla materiales de concientizacin, educacin y entrenamiento en va-
riedad de temas de seguridad informtica.

1.3.2 Anlisis FODA General para un CSIRT
Luego se hace necesario realizar un proceso de anlisis que evalu si las medidas adoptadas
son relevantes, si estn fuera o dentro de la organizacin as mismo, si provee un valor positivo
o negativo.

Para poder analizar la situacin ante la creacin de un CSIRT se presenta el siguiente anlisis
FODA (Fortalezas, Oportunidades, Debilidades, Amenazas) que apoya la conformacin de un
cuadro situacional que nos permite obtener un diagnstico preciso que nos apoye en el proceso
de tomas de decisiones acordes con los objetivos y polticas de nuestro CSIRT.

Tabla 17: Anlisis FODA General para un CSIRT.

ANLISIS FODA GENERAL PARA UN CSIRT

ELEMENTO DESCRIPCIN
FORTALEZAS

Posee el respaldo de la organizacin que lo hospeda as como el re-
corrido que la misma tenga en la comunidad a la que pertenece.
Un punto focal para la notificacin y tratamiento de incidentes de se-
guridad.
Disponibilidad de personal tcnico calificado y actualizado.
Dado el conocimiento que posee su personal, el CSIRT es relevante
para el proceso de educacin para la seguridad y prevencin de inci-
dentes.

OPORTUNIDADES

Desarrollo de relaciones comerciales de largo plazo con los clientes.
Bsquedas de alianzas con terceros que complementen los servicios
en el mercado objetivo.
Gran necesidad de coordinacin de incidentes de seguridad inform-
tica.

Pgina 88

Proyecto de inters general para todos los sectores de la sociedad.
No existe una centralizacin en la medicin y seguimiento de la segu-
ridad informtica en el segmento de servicio.

DEBILIDADES

Experiencia.
Reconocimiento del trabajo del nuevo CSIRT.
Los sectores pblico y privado no tienen la prioridad ni la costumbre
de asesorarse por un ente especializado en temas de seguridad in-
formtica.
Infraestructura TIC dbil.
Incipiente regulacin de servicios informticos.

AMENAZAS

Desaceleracin de la economa mundial y local.
Rpida obsolescencia de los equipos informticos.
Competidores ya establecidos en el mercado de la seguridad inform-
tica.
Respaldo financiero limitado.
Bajos incidentes de seguridad informtica pueden desembocar en
dificultar el auto sostenimiento del CSIRT.

1.3.3 Creacin de un Presupuesto Preliminar de Inversin y Funcionamiento
Es un presupuesto que deber de ser ajustado de acuerdo con las validaciones que se realicen
al modelo de la comunidad objetivo que atender. Usualmente los rubros se proyectan para un
mnimo de un ao y cubre los siguientes puntos:

Presupuesto de Inversin: comprende todo el cuadro de adquisicin de mquina y
equipo que permitan asegurar el proceso productivo y ampliar la cobertura del mercado.
Los principales componentes considerados para el Presupuesto de Inversin son:

o Estudios y Diseos: Los costos incluyen las evaluaciones de riesgos y vulnerabili-
dades de seguridad de la informacin, que permitan prevenir la accin de los inci-
dentes y crear una lnea base para el desarrollo de los servicios y el monitoreo de la
seguridad de la informacin en las entidades atendidas.

o Plataforma Tecnolgica: incluye el hardware y software requerido para garantizar
la operacin y la seguridad de la informacin propia del CSIRT as como la necesa-
ria para la prestacin de los servicios ofrecidos. Comprende los siguientes rubros:
Hardware, Software, Servicios de Seguridad, Mantenimiento y Reparaciones, Desa-
rrollo Web, Tecnologas de Seguridad de la Red y de la Informacin, Gestin de
Equipos de Seguridad, Monitoreo de Equipos de Seguridad, Correlacin de Equipos
de Seguridad, Proteccin a los Sistemas.

o Mobiliario.

Pgina 89

o Seguros de Equipos e Infraestructura.

Presupuesto de Funcionamiento: tienen que ver con la razn principal de la entidad
CSIRT. Los componentes son:

o Costo de Personal: debe de disearse en base a la estructura organizacional del
CSIRT con salarios acordes al mercado laboral y los perfiles requeridos. Los proba-
bles elementos son los siguientes: Director, Directores, J efes de Grupo, Profesiona-
les Certificados en Seguridad, Equipo Base, Personal Administrativo. Tambin es
importante proyectar las prestaciones de ley respectivas.

o Reclutamiento: asume la contratacin de un tercero para el proceso de bsqueda y
reclutamiento del personal del CSIRT.

o Entrenamiento y Capacitacin: costos asociados con la preparacin tcnica del
personal para un mejor desempeo en la operacin.

o Operacin: Costos estimados asociados a la operacin diaria del CSIRT en la pres-
tacin de los servicios ofrecidos tales como: Logstica para conferencias y talleres,
Costos de Presentacin, Suscripciones a Medios Especializados, Traducciones,
Elaboracin de Talleres, Publicaciones, Publicidad y Materiales Informativos, Viti-
cos.

o Infraestructura: Alquiler de Establecimiento, Servicios Pblicos, Mantenimiento.

o Impuestos de Ley: Impuestos Municipales, Impuestos Fiscales, Registro de Co-
mercio, etc. Es importante detallar todos los impuestos que apliquen.

o Costo Variable Adicional: Auditoras de Seguridad, Configuracin y Mantenimiento
de la Seguridad, Anlisis de Riesgos, Planificacin de la continuidad de la operacin
y recuperacin tras un desastre, Recopilacin de Pruebas Forenses, Respuesta a
Incidentes In Situ, Evaluacin de Productos.

Presupuesto de Ventas de Servicios: se estima con base en tarifas y comportamien-
tos esperados del mercado y considerando la operacin del CSIRT durante el ao de
operacin.

o Ventas de Servicios: Cursos de Capacitacin, Auditoras de Seguridad, Configura-
cin y Mantenimiento de la Seguridad Informtica, Anlisis de Riesgos, Planificacin
de la Continuidad de la Operacin y Recuperacin tras un Desastre, Recopilacin de
Pruebas Forenses, Respuesta a Incidentes In Situ, Evaluacin de Productos.

Pgina 90

1.4 Conclusiones

La convergencia de los sistemas multiplica exponencialmente los problemas de
seguridad planteados. El equilibro es difcil, el espectro a cubrir es amplio y, como difi-
cultad extra, el campo de trabajo es intangible. Esto hace necesario desarrollar tcnicas
y/o adaptar las existentes de forma tal de circunscribir nuestro trabajo de conse-
guir informacin dentro de un marco de seguridad.

Cuando se disea un sistema se lo hace en base a su operatividad y/o funcionalidad de-
jando de lado la Seguridad. Ser necesario establecer una pertenencia y corres-
pondencia entre las tcnicas adoptadas conformando un sistema de seguridad;
y no procedimientos aislados que contribuyan al caos general existente. Esto slo
puede lograrse al integrar la seguridad desde el comienzo, desde el diseo, desde el
desarrollo.

Las tecnologas involucradas en estos procesos condicionan las tcnicas empleadas,
los tiempos condicionan esas tecnologas y, paradjicamente, las legislaciones deben
adaptarse a los rpidos cambios producidos. Esto hace obligatorio no legislar sobre
tecnologas actuales, sino sobre conceptos y abstracciones que podrn ser implemen-
tados con distintas tecnologas en el presente y el futuro. Es urgente legislar un marco
legal adecuado, no solo que castigue a los culpables sino que desaliente acciones hosti-
les futuras.

Algunos pocos mtodos realmente novedosos de infiltracin ponen en jaque los
sistemas de seguridad. Aqu, se prueba la incapacidad de lograr 100% de segu-
ridad, pero tambin es hora de probar que los riesgos, la amenaza, y por ende
los daos pueden ser llevados a su mnima expresin. Muchas veces basta con
restringir accesos a informacin no utilizada o que no corresponde a los fines plan-
teados. Otras veces la capacitacin ser la mejor herramienta para disminuir drstica-
mente los daos.

La seguridad es un estado mental, la seguridad perfecta requiere un nivel de perfec-
cin que realmente no existe, y de hecho dudo que algn da exista, pero los
riesgos deben y pueden ser manejables.

El costo en el que se incurre suele ser bajo comparado con aquellos luego de producido
un dao. El desconocimiento y la falta de informacin son el principal inconveniente
cuando se evala la inclusin de seguridad como parte de un sistema.

El desarrollo de software es una ciencia imperfecta; y como tal es vulnerable. Es una
realidad, la seguridad involucra manipulacin de naturaleza humana. Hay que com-
prender que la seguridad consiste en tecnologa y poltica, es decir que su combinacin
y su forma de utilizacin determina cuan seguros son los sistemas. El problema de la
seguridad no puede ser resuelto por nica vez, es decir que constituye un viaje
permanente y no un destino.

Pgina 91

CAPITULO 2

Tipologas de Centros de
Respuesta

Pgina 92

Informacin del Captulo 2

NOMBRE DOCUMENTO: Tipologas de Centros de Respuesta.

FECHA DE CREACIN: Mxico D.F., Diciembre de 2009.

AUTOR: Ing. Ruben Aquino Luna.




Resumen.
Se describen los modelos organizacionales existentes para centros de respuesta a incidentes
de seguridad de la informacin con el objetivo de unificar la terminologa y obtener conocimien-
to en las formas de organizacin ms comnmente utilizadas. Asimismo se describen las prin-
cipales ventajas y desventajas de cada modelo y se sealan las situaciones a las que mejor
se adapta cada uno.

Pgina 93

2. Modelos organizacionales de centros de respuesta a inci-
dentes
Al crear un Centro de Respuesta a Incidentes de Seguridad es fundamental decidir el modelo
organizacional a utilizar. La respuesta efectiva ante incidentes depende de una planeacin pre-
cisa del modo de operacin del centro de respuesta.

Al planear un centro de respuesta a incidentes debe definirse la estructura que tendr de
acuerdo a los objetivos, visin y misin del mismo. Existen muchos factores que deben tomarse
en cuenta para definir el modelo adecuado de centro de respuesta. Entre esos factores, algu-
nos fundamentales son:

El mbito de accin u operacin
Misin del centro de respuesta
Servicios que se pretende proporcionar
Posicin del centro de respuesta en la estructura organizacional
Cules sern las obligaciones y la autoridad del centro de respuesta
Infraestructura actual e infraestructura necesaria
Financiamiento de la operacin del centro de respuesta
Estructura del Centro de Respuesta

La estructura de un Centro de Respuesta depende del alcance y mbito de accin del mismo
dentro de una organizacin. Es importante definir un modelo organizacional adecuado para el
Centro de Respuesta, de tal forma que se contemplen todas las operaciones que se realizarn.
Seleccionar adecuadamente un modelo permite establecer mtodos adecuados para tareas y
servicios que van desde cmo reportar un incidente por algn miembro de la organizacin has-
ta la restauracin de los servicios afectados por un incidente de seguridad, incluyendo todo lo
que ello implica, como la forma de responder al incidente y el proceso para el anlisis de la evi-
dencia.

2.1 Modelos de referencia
La estructura organizacional de un centro de respuesta a incidentes define aspectos como la
ubicacin fsica del centro de respuesta, su lugar en la organizacin y en la circunscripcin y los
mecanismos de interaccin con ellas.

Hay cuatro (tres en realidad) categoras principales en lo que se refiere a estructuras de un
Centro de Respuesta:

2.1.1 Equipo de seguridad

Este es un modelo bajo el cual una organizacin responde a incidentes de seguridad con los
recursos humanos y materiales existentes sin que exista un equipo o centro dedicado para la
respuesta a incidentes. Esto generalmente significa que la respuesta a un incidente se realiza

Pgina 94

por parte de la persona que administra los dispositivos o recursos involucrados en l. De este
modo, la respuesta a los incidentes de seguridad de la informacin es muy heterognea ya
que, aunque podra contarse con algn tipo de guas bsicas, el xito en la respuesta al inci-
dente depender en gran medida de la capacidad y habilidades de administradores de sistemas,
de red, desarrolladores, etc. Con este tipo de modelo es complicada la implementacin de me-
jores prcticas en la respuesta a incidentes y la investigacin y seguimiento coordinados. Hay
tambin muy poca retroalimentacin sobre un incidente y, por tanto, el aprendizaje para robus-
tecer la seguridad de la informacin es muy limitado.

2.1.2 Equipo de respuesta a incidentes centralizado.

En este modelo, existe un nico equipo de respuesta a incidentes que se encarga del manejo
de todos los incidentes. Es un modelo adecuado para organizaciones pequeas y para aquellas
organizaciones grandes cuya infraestructura tecnolgica no est en sitios geogrficamente dis-
tantes. El centro de respuesta centralizado es el nico punto de contacto en toda la organiza-
cin para la respuesta a incidentes y reportes de vulnerabilidades.

2.1.3 Equipos de respuesta a incidentes distribuidos.

En este modelo, la organizacin cuenta con varios equipos de respuesta a incidentes. Todos los
equipos conforman el centro de respuesta. Se crean o definen equipos de respuesta a inciden-
tes para responder incidentes especficos. Los equipos pueden crearse de acuerdo a segmen-
tos lgicos o fsicos. En este caso, los equipos de respuesta pueden crearse por cada divisin
de la organizacin o bien por unidades geogrficas. Es importante que todos los equipos estn
coordinados por una unidad central que permita garantizar que el servicio de respuesta a inci-
dentes que proporciona cada uno de los equipos es consistente con el de todos los dems y
con el que la organizacin ha definido. Establecer una entidad de coordinacin centralizada
tambin facilita el intercambio de informacin entre los distintos equipos de respuesta, lo cual
es fundamental en este modelo ya que puede haber incidentes en que deban integrarse de
manera coordinada ms de uno de los equipos de respuesta. Claramente, este modelo es ms
adecuado para grandes organizaciones o bien para aquellas que cuentan con varias unidades
en diversos sitios geogrficos.

2.1.4 Equipo coordinador.

Este modelo organizacional de centros de respuesta se refiere a un centro de respuesta que
trabaja con otros centros de respuesta. Esto es, se trata de un equipo que proporciona asesora
e informacin a otros equipos de otras entidades sobre las que no necesariamente ejerce auto-
ridad directa. El centro de respuesta coordina y facilita el manejo de incidentes entre varias or-
ganizaciones, que pueden ser internas y/o externas, que pueden incluir divisiones o subsidia-
rias de una organizacin, entidades de un mismo gobierno, organizaciones pertenecientes a un
mismo dominio o dentro de un estado o pas. Su funcin principal es proporcionar anlisis de
incidentes y de vulnerabilidades, soporte y servicios de coordinacin. Una actividad importante
de este tipo de centros es la generacin de guas, boletines, mejores prcticas, avisos sobre

Pgina 95

soluciones para mitigar el impacto de incidentes y sobre recuperacin luego de la ocurrencia de
alguno.

2.2 Centros de respuesta existentes
Cuando se planea la creacin de un nuevo centro de respuesta, es muy til echar un vistazo a
los centros que ya existen y que han operado por algn tiempo en alguna parte del mundo. Es
muy probable que el centro que se planea crear tengo algo o mucho en comn con alguno o
algunos de los centros que existen en la actualidad y en cuyo modelo puede basarse la planea-
cin.

Las ventajas de revisar la estructura de los grupos existentes son varias. Por un lado, se puede
contactar al centro existente para conocer cmo se form ese centro de respuesta y cmo ope-
ra en su mbito de accin, cules fueron los principales obstculos en la creacin y consolida-
cin del centro de respuesta y, por supuesto, cul es el modelo y la estructura bajo los que fun-
cionan. Por otra parte, hay muchos grupos de respuesta que pueden tener la disposicin inclu-
sive de apoyar, a travs de proporcionar asesora, la creacin del nuevo centro de respuesta. El
apoyo puede resultar muy valioso pues se trata de experiencias probadas. Es importante saber,
sin embargo, que no podemos delegar la responsabilidad de la planeacin y creacin del centro
de respuesta a incidentes en otra organizacin ya que, como se ha mencionado, el xito en la
operacn del centro depende de cubrir de manera efectiva las necesidades particulares para
las que est siendo creado.

2.3 Nombre del centro de respuesta
No hay algn requisito respecto de cmo deben nombrarse a un centro de respuesta a inciden-
tes. En realidad un centro de respuesta puede tener cualquier nombre. El reconocimiento de los
centros de respuesta que existen en la actualidad se ha dado ms bien a travs de la reputa-
cin que han logrado por el trabajo que realizan.

Si bien no existen requisitos para el nombre de un centro de respuesta a incidentes de seguri-
dad, hay algunos de uso frecuente que seguramente alguna vez hemos visto, particularmente
siglas en ingls como las siguientes:

IRT - Incident Response Team
CSIRT - Computer Security Incident Response Team
CIRT - Computer Incident Response Team
CIRC - Computer Incident Response Capability
SIRT - Security Incident Response Team
SERT - Security Emergency Response Team
CERT - Computer Emergency Response Team

De esta lista, quiz los mas frecuentes sean los dos primeros y el ultim. ste ltimo, sin em-
bargo, es un nombre que slo puede usarse con el permiso del Software Engineering Institute
(SEI) de la Universidad de Carnegie Mellon, en Estados Unidos.

Pgina 96

2.4 La circunscripcin del centro de respuesta
Un factor importante para elegir el modelo organizacional para un centro de respuesta a inci-
dentes es definir la circunscripcin en la que tendr cobertura. Al definir la circunscripcin que-
dar claro si el centro de respuesta proporcionar servicio a entidades externas o solamente a
la organizacin dentro de la cual se constituye. Esta definicin depende de los objetivos para
los cules se crea el centro de respuesta y no necesariamente tiene que ver con el sector de la
sociedad al que pertenece la organizacin en la que se crea el centro de respuesta. Una orga-
nizacin comercial puede crear un centro de respuesta para vender el servicio de respuesta a
incidentes o bien para atender sus necesidades propias en la materia. Lo mismo ocurre en
otros sectores, como el de gobierno e incluso el educativo.

Un segundo factor fundamental para elegir el modelo organizacional y que tiene tambin que
ver con la definicin de la circunscripcin para el centro de respuesta es la cobertura geogrfica
que tendr. Si todo se encuentra concentrado en una misma ubicacin geogrfica, puede op-
tarse por un esquema centralizado, mientas que si la cobertura incluir ubicaciones geogrficas
distintas, seguramente deber optarse por un esquema distribuido.

2.5 Misin del centro de respuesta.
La misin del centro de respuesta es una definicin breve, clara y precisa del propsito y de la
funcin del centro de respuesta. Con la definicin de la circunscripcin y de la misin del centro
de respuesta, pueden delinearse los servicios y el alcance que tendr cada uno de ellos. Con
todos estos elementos, se va conformando la eleccin del modelo organizacional adecuado pa-
ra el centro de respuesta.

2.6 Servicios principales
Un centro de respuesta a incidentes puede proporcionar diversos servicios de seguridad de la
informacin, pero es conveniente que cuando est recin formado, se enfoque de manera prin-
cipal el servicio de respuesta a incidentes y algunos que puedan identificarse como necesarios
y tiles para la operacin del centro. A partir de proporcionar esos servicios de manera adecua-
da, el centro de respuesta podr ir hacindose presente en el mbito de accin y generando
confianza en la o las organizaciones en las que acta y, a partir de ello, se pueden contemplar
la implementacin de otros servicios asociados.

El manejo de incidentes es en s mismo un servicio que puede incluir diversos aspectos: ges-
tin de incidentes, atencin en sitio, coordinacin de equipos, cmputo forense, anlisis de
software malicioso, etc.

Si bien la tarea principal de un centro de respuesta a incidentes de seguridad de la informacin
es esencialmente el manejo de incidentes, es realmente difcil que las actividades se limiten a
esa tarea nicamente. Las razones para realizar actividades adicionales a la respuesta a inci-
dentes tienen que ver con el entorno del centro de respuesta y con las necesidades que se van
observando durante la operacin del mismo. Sobre el primer caso, es frecuente que en la orga-
nizacin se observe al centro de respuesta tambin como una entidad de consulta y asesora,

Pgina 97

debido a que sabe cmo solucionar problemas sobre seguridad de la informacin. En el segun-
do caso, con la operacin cotidiana de un centro de respuesta a incidentes de seguridad gene-
ralmente surge la necesidad de actuar en alguna o en las otras dos fases del ciclo de la seguri-
dad de la informacin: prevencin y deteccin.

Entre las muchas actividades adicionales que puede proporcionar un centro de respuesta a in-
cidentes de seguridad de la informacin estn:

2.6.1 Emisin de boletines y alertas de seguridad

Las actividades de prevencin son importantes ya que contribuyen a evitar incidentes de segu-
ridad informtica derivado s del desconocimiento de nuevas amenazas. De este modo, el cen-
tro de respuesta puede emitir boletines sobre nuevas vulnerabilidades en sistemas operativos,
aplicaciones, etc., y las formas de mitigar los riesgos asociados a las vulnerabilidades. Es tam-
bin importante que el centro de respuesta emita boletines y alertas relacionadas con la infraes-
tructura de seguridad que aplica a la organizacin, de tal forma que no se confunda a la organi-
zacin con informacin que podra ser innecesaria. Adems de boletines y alertas sobre vulne-
rabilidades y amenazas, el centro de respuesta tambin puede emitir informacin sobre leccio-
nes aprendidas de incidentes ocurridos dentro de la misma organizacin.

2.6.2 Anlisis de vulnerabilidades

El personal del centro de respuesta a incidentes tambin puede apoyar con actividades de an-
lisis de vulnerabilidades dentro de la organizacin, colaborando con actividades de auditora o
de pentest. Generalmente dentro del centro de respuesta a incidentes se cuenta con personal
capacitado para esta actividad porque son habilidades que tambin se requieren en el manejo
de incidentes. Debe tenerse en cuenta que no puede delegarse la responsabilidad principal del
anlisis de vulnerabilidades al personal de manejo de incidentes ya que su tarea principal es la
respuesta a incidentes.

2.6.3 Deteccin de incidentes

El personal del centro de respuesta a incidentes tambin puede colaborar en actividades de
deteccin de incidentes. Ya que el centro de respuesta es quien cuenta con informacin sobre
los incidentes que ocurren en la organizacin, es til que su personal participe en la definicin
de los mecanismos y dispositivos para la deteccin de incidentes. Esa misma participacin y
colaboracin en la deteccin puede servir para dar una perspectiva al centro de respuesta so-
bre las amenazas cotidianas a la seguridad de la informacin de la organizacin.

2.6.4 Difusin y capacitacin

Una labor muy importante de un centro de respuesta a incidentes en materia de prevencin es
el desarrollo de programas de capacitacin y difusin sobre seguridad de la informacin. En
realidad, estos programas deben realizarse de forma permanente pues es la forma ms efecti-

Pgina 98

va de lograr que los integrantes de la organizacin estn conscientes de las amenazas a la se-
guridad de su informacin y la de la organizacin y de las medidas para mitigar los riesgos aso-
ciados a las vulnerabilidades identificadas y tambin para que conozcan las medidas que de-
ben tomarse ante alguna contingencia o incidente. Muchas veces el xito en la respuesta y en
la investigacin de un incidente de seguridad de la informacin depende de la colaboracin de
todos los involucrados, por lo que no debe escatimarse en los programas de difusin y capaci-
tacin ya que tambin es a travs de ellos como se logra de manera efectiva disminuir las posi-
bilidades de que los incidentes se repitan.

2.6.5 Implementacin de mejores prcticas

Al funcionar como una referencia en materia de seguridad de la informacin, un centro de res-
puesta puede actuar como consultor de organizaciones para la implementacin de mejores
prcticas que ayuden a mitigar los riesgos de seguridad a los que su informacin est expues-
ta.

En general, los servicios que proporcione un centro de respuesta dependen de los objetivos
para los cuales fue creado y, por tanto, de su mbito de accin.

2.7 Reporte, clasificacin, asignacin
Dos de las cosas ms importantes para un equipo de respuesta a incidentes es la forma en que
se reportarn los incidentes al centro de respuesta por parte de los usuarios y cmo el personal
del centro de respuesta realizar la clasificacin y asignacin del incidente para atenderlo de
manera adecuada.

La importancia de estas acciones radica en que definen cmo se maneja un incidente de
acuerdo a las circunstancias en que ste ocurre y eso establece la prioridad que se le da al
mismo y, por tanto, los recursos que se destinarn para el manejo. Es por ello que para un cen-
tro de respuesta a incidentes es fundamental definir la forma en que se realizarn stas accio-
nes iniciales. La eficacia y eficiencia del centro de respuesta dependen en gran medida de que
los reportes se reciban de forma inmediata y se recolecte la informacin necesaria para deter-
minar el tipo de incidentes de que se trata. Con esa informacin, el personal debe clasificar el
incidente de acuerdo a los procedimientos que existan para ello y transferir el manejo del mis-
mo a la persona indicada para atender el incidente de acuerdo a su tipo y prioridad.

El reporte de los incidentes al centro de respuesta puede hacerse a travs de diversos medioa,
entre los ms comunes estn

Va telefnica (posiblemente establecer una lnea de atencin 24x7 o un 01-800)
Direcciones de correo electrnico especficas
Formularios web
De forma personal

Adems de implementar los mecanismos para la recepcin, clasificacin y asignacin de repor-
tes de incidentes, es importante contar con un sistema para el seguimiento de los reportes de

Pgina 99

incidentes, que permita consultar en todo momento el status de cada incidente, su clasificacin
y, en general, todos los datos asociados a los reportes.

Contar con un sistema de estas caractersticas permite contar con informacin sobre la opera-
cin del centro de respuesta, se pueden definir mtricas para el cumplimiento de los niveles de
servicio establecidos con la organizacin y se pueden tomar decisiones de acuerdo al desarro-
llo del seguimiento de cada incidente. Al final de un perodo de tiempo, el sistema proporcionar
informacin estadstica muy valiosa para observar el comportamiento del servicio del centro de
respuesta y para observar la evolucin de las necesidades de los usuarios del mismo. Hay una
diversidad de sistemas de seguimiento de reportes (tracking) que pueden servir para un centro
de respuesta a incidentes. Debe utilizarse el que mejor se adapte a las necesidades y carac-
tersticas del servicio que se va a proporcionar. Una opcin creada especficamente para equi-
pos de respuesta a incidentes es Request Tracker for Incident Response, creado bajo el auspi-
cio de J anetCERT y de uso libre.

La forma de operar el proceso de reporte, clasificacin y asignacin de incidentes es como una
mesa de ayuda, por lo que debe capacitarse a una parte o todo el personal del centro de res-
puesta a incidentes sobre el proceso. Si bien puede parecer trivial, no debe soslayarse la im-
portancia de la capacitacin y actualizacin constante en este rubro si se pretende proporcionar
un servicio adecuado y homogneo para cara reporte que el centro de respuesta reciba.

Otra manera de cubrir el proceso inicial de reporte, clasificacin y asignacin de incidentes de
seguridad es a travs de algn centro de recepcin o mesa de ayuda de un tercero, otra orga-
nizacin que se encargue del proceso y que una vez prestada la atencin inicial transfiera el
control del incidente al personal especializado del centro de respuesta. Si se toma esta alterna-
tiva, es muy importante tener en cuenta que el personal de la mesa de ayuda que se contrate
ser, de muchas formas, quien proporcione el primer nivel de servicio del centro de respuesta y
por ello debe entender no slo el proceso de reporte, clasificacin y asignacin, sino incluso la
misin, los servicios e incluso la estructura del centro de respuesta.

2.8 Autoridad
De acuerdo a la ubicacin en la estructura organizacional del centro de respuesta a incidentes
y de acuerdo a los objetivos y misin para los que haya sido creado, puede variar la forma en
que ejerza autoridad sobre las diferentes reas de la organizacin. Esencialmente hay 3 tipos
de autoridad que un centro de respuesta puede tener sobre su circunscripcin: autoridad total,
autoridad compartida y no autoridad. La diferencia entre los tres tipos de autoridad reside en la
toma de decisiones. Si el centro de respuesta tiene autoridad total, por s mismo y de acuerdo a
las circunstancias de un incidente de seguridad puede tomar medidas para manejar el inciden-
te. En esta caso podra decidir la desconexin de dispositivos para recolectar evidencia, por
ejemplo. En el caso de autoridad compartida, el centro de respuesta es partcipe de las decisio-
nes sobre el manejo de incidentes y las acciones que de l deriven. Si bien no toma la decisin
por s mismo como en el caso de autoridad total, s tiene voto en la decisin. Finalmente, es
posible que el centro de respuesta no tengo autoridad sobre su circunscripcin y que su funcin
sea sugerir acciones para el manejo de incidentes, para que las autoridades correspondientes
decidan si se llevan o no a cabo. An en este caso, la aportacin del centro de respuesta puede
resultar fundamental sugiriendo acciones y advirtiendo los riesgos para la informacin de la or-
ganizacin de no llevarlas a cabo.

Pgina 100

El nivel de autoridad que tendr el centro de respuesta es decisin de la administracin y es
importante que quede bien definido para evitar mensajes equivocados al interior de la organiza-
cin que eventualmente pueden mermar la credibilidad del centro de respuesta.

2.9 Personal del Centro de Respuesta
La respuesta a incidentes para una organizacin, independientemente del modelo que se utili-
ce, debe estar a cargo de una sola persona de la organizacin. Aplica tambin esta recomen-
dacin para aquellas organizaciones que contratan con una entidad externa todo el servicio de
manejo de incidentes. En tal caso, la persona dentro de la organizacin que est designada
como responsable de la respuesta a incidentes se encarga de vigilar el cumplimiento del con-
trato por parte del proveedor. En los otros dos modelos, lo que se hace es designar a un jefe o
administrador del equipo de respuesta a incidentes y a un responsable sustituto en caso de au-
sencia del primero.

El trabajo del administrador o jefe incluye una amplia variedad de tareas entre las que estn
incluidas las de actuar como un medio de enlace entre el centro de respuesta a incidentes y la
direccin de la organizacin u otras unidades y equipos dentro de la misma. Tambin es el pun-
to de contacto en materia de respuesta a incidentes con entidades externas. Algo en lo que de-
be trabajar el jefe o administrador del centro de respuesta es en la comunicacin necesaria al
interior y exterior de la organizacin para evitar situaciones de crisis por la interaccin del per-
sonal. Dentro de sus funciones tambin es muy importante la responsabilidad de que el centro
de respuesta cuenta con el personal, recursos y habilidades necesarias para brindar el servicio.

Dentro de las caractersticas deseables del jefe o administrador de un centro de respuesta a
incidentes de seguridad estn tambin el dominio de aspectos tcnicos y habilidades de comu-
nicacin, tanto hacia afuera del equipo como hacia adentro, con el fin de mantener relaciones
de colaboracin efectivas con otros grupos de respuesta y de mantener al interior un buen am-
biente de trabajo dentro de un equipo que conozca sus responsabilidades y est comprometido
con la organizacin.

Dependiendo del tamao del centro de respuesta, es probable que se requiera de un respon-
sable tcnico (CTO) que domine los aspectos tcnicos del servicio de respuesta a incidentes y
tenga la responsabilidad ltima sobre la calidad tcnica del trabajo desarrollado por todo el
equipo del centro de respuesta. Es importante destacar que esta posicin no es la misma que
la de lder de un incidente, quien se encarga de coordinar las actividades, recolectar informa-
cin de quienes atienden directamente el incidente, y procurar la atencin de las necesidades
del personal involucrado en la atencin del incidente.

El personal que se encarga de desarrollar las cuestiones tcnicas para la respuesta a un inci-
dente debe tener excelentes habilidades tcnicas, ya que ese aspecto es fundamental para el
xito en el servicio debido a que ese dominio de los aspectos tcnicos es lo que finalmente ins-
pirar confianza al interior de la organizacin sobre el trabajo del centro de respuesta a inciden-
tes.

La imprecisin en el dominio tcnico puede minar la credibilidad de todo el centro de respuesta
y el no contar con las habilidades tcnicas suficientes puede eventualmente hacer que un inci-

Pgina 101

dente empeore. El centro de respuesta a incidentes debe contar con personal que domine la
administracin de sistemas, la administracin de redes de datos, programacin, soporte tcni-
co, deteccin de intrusos, anlisis de vulnerabilidades, anlisis de malware de manera general
y otros mecanismos con que la organizacin cuente dentro de su infraestructura.
Cada miembro del personal debe ser hbil para resolver problemas y eso regularmente se lo-
gra a travs de la experiencia y la transferencia de conocimiento. No todos los miembros del
personal deben ser expertos en cada tema, pero s es conveniente que pada cada rea de las
mencionadas haya al menos una persona con las habilidades suficientes para proporcionar
apoyo en algn incidente crtico que involucre su rea.

Algo que puede ayudar a robustecer las habilidades del personal sin tanta experiencia es un
plan y programas de transferencia de conocimientos continuos, contar con referencias tcnicas
suficientes como libros, revistas, etc. Promover la participacin del personal en tareas que mo-
tiven su superacin como la elaboracin de material didctico, participar en la instruccin de
talleres, evaluar, integrar y desarrollar nuevas herramientas para ayudar a los administradores
de sistemas, mejorar el servicio de respuesta a incidentes, etc.

En algunas circunstancias, podra haber rotacin entre el personal que participa en la respuesta
a incidentes con otras reas de la organizacin o dentro del mismo centro de respuesta, de tal
forma que los miembros del centro de respuesta conozcan las actividades de las otras reas
con las que se interacta frecuentemente, sus problemas ms frecuentes y su ambiente de tra-
bajo, as como las actividades que realizan sus propios compaeros dentro del ambiente de
trabajo. Si bien esto no siempre es posible, al menos debe procurarse la interaccin y la retroa-
limentacin sobre las actividades de la organizacin y del propio centro de respuesta.
Para el desarrollo de habilidades y conocimientos del personal, tambin puede acudirse al in-
tercambio con expertos de otras entidades y promover la retroalimentacin e intercambio de
conocimientos con esas entidades.

Adems de las habilidades tcnicas, el personal del centro de respuesta a incidentes tambin
es deseable que cuente con otras habilidades como capacidad para trabajar en equipo, habili-
dades de comunicacin, facilidad para expresarse, habilidad para escribir informes tcnicos,
etc. Si bien no todos los miembros pueden contar con todas estas habilidades, es importante
identificar quines son las personas que s las tienen y contar con personas con alguna de las
caractersticas mencionadas. Las habilidades de comunicacin (hablar, expresarse, escribir)
son particularmente importantes debido al trato que existe en la respuesta a incidentes con di-
versas personas como las vctimas de un incidente, directivos, administradores y eventualmen-
te autoridades de procuracin de justicia. En general, en un incidente, el personal del centro de
respuesta requiere persona con las habilidades mencionadas para establecer el trato adecuado
con los directivos de la organizacin, los usuarios y con el pblico en general. Las habilidades
de comunicacin son tambin importantes para evitar la revelacin de informacin sobre la in-
vestigacin antes de que sta haya concluido a los involucrados sin que ello afecte el curso
mismo de la investigacin.

Respecto a la forma de contratacin de empleados, los centros de respuesta pueden utilizar
alguno de los siguientes tres modelos:

2.9.1 Empleados

Pgina 102

En este caso, la misma organizacin es responsable de toda la respuesta a incidentes de segu-
ridad. En este caso es mnimo el soporte tcnico y administrativo de parte de organizaciones
externas.

2.9.2 Parcialmente empleados

Bajo este modelo, la organizacin delega una parte de las tareas de respuesta a incidentes en
organizaciones externas. Con frecuencia, se contrata y delega en una entidad externa el mo-
nitoreo de dispositivos de deteccin. Entonces, el proveedor de servicios de seguridad adminis-
trados identifica y analiza actividad sospechosa y reporta al equipo de respuesta de la organi-
zacin cada uno de los incidentes detectados.

Otro esquema que se utiliza con frecuencia bajo este modelo es que el centro de respuesta de
la organizacin proporcionar una respuesta a incidentes bsica y cuenta con contratos con al-
guna o algunas entidades externas para responder a incidentes mayores. El contrato puede ser
para actividades de cmputo forense, anlisis avanzado de incidentes, contencin y erradica-
cin y mitigacin de vulnerabilidades.

2.9.3 Outsourcing

La organizacin delega toda la responsabilidad de respuesta a incidentes, regularmente a una
entidad que trabaja en sitio. Este modelo se usa con frecuencia cuando la organizacin requie-
re contar con un centro de respuesta pero no cuenta en su planta laboral con personal califica-
do para desempear esas actividades.

2.10 Seleccin del modelo de centro de respuesta
Hay algunos aspectos importantes que deben tomarse en cuenta cuando se define el modelo
de un centro de respuesta, tanto para la estructura como para la forma de absorber o delegar
responsabilidades en terceros.

Definir si se requiere la disponibilidad 24x7 del servicio de respuesta a incidentes. La decisin
sobre la disponibilidad est en funcin de la criticidad de la infraestructura. Proporcionar un
servicio 24x7 implica que haya personal disponible para atender los incidentes todo el tiempo y
que se pueda contactar cuando se requiera o incluso que se requiera la presencia todo el tiem-
po de personal del centro de respuesta.

Aquellas organizaciones con limitaciones presupuestales o bien, aquellas en que la infraestruc-
tura a proteger no requiera de la presencia de tiempo completo del personal de respuesta a in-
cidentes, podra establecer contratos de medio tiempo o lo que convenga, de acuerdo a sus
necesidades. Lo importante en este caso es establecer medios de comunicacin adecuados
para poder atender con prontitud los incidentes. La atencin directa e inicial del incidente podra
recaer en el personal de soporte o help desk, entrenado adecuadamente para proporcionar la
respuesta inicial y asesorado por el personal de respuesta a incidentes. De este modo, la in-
vestigacin inicial y la recoleccin de informacin recaera en el personal de soporte o help
desk, por lo que es fundamentan que cuente con la preparacin para ello.

Pgina 103

Un punto ms que es importante considerar cuando se estructura un centro de respuesta a in-
cidentes de seguridad es que las actividades de respuesta a incidentes pueden ser muy estre-
santes. Es importante reclutar al personal preparado tcnicamente pero tambin preparado pa-
ra trabajar bajo condiciones estresantes. Generalmente, es deseable personal con alguna ex-
periencia para responder adecuadamente en situaciones de estrs.

El costo es tambin un factor fundamental al momento de definir el modelo de organizacin,
sobre todo si se va a proporcionar un servicio con disponibilidad 24x7. Hay algunos aspectos
muy importantes que no deben soslayarse cuando se definen los costos de operacin de un
centro de respuesta:

2.10.1 Costos

El personal de respuesta a incidentes debe ser constantemente capacitado y actualizado en
diversas reas de las Tecnologas de la Informacin (TI). Adems de conocer sobre diversos
aspectos de TI, el personal de respuesta a incidentes tambin debe conocer y operar las
herramientas propias de la actividad de investigacin y recoleccin de evidencia sobre los inci-
dentes. Otros costos que es importante tener en cuenta son los que se refieren a la seguridad
fsica del rea de trabajo del centro de respuesta y los medios y dispositivos de comunicacin.

2.10.2 Experiencia del personal

El manejo de incidentes requiere conocimiento especializado y experiencia en diversas reas
de TI. Por esta razn es importante evaluar si se cuenta o se est dispuesto a contratar perso-
nal especializado en las cuestiones que se tienen que ver con los riesgos identificados en la
organizacin. Al respecto, es posible que personal externo (Outsourcing) especializado en res-
puesta a incidentes cuente con mayor experiencia que el personal de la organizacin en reas
como la deteccin de intrusos, anlisis de vulnerabilidades, pruebas de penetracin, etc. Las
organizaciones que proporcionan servicios de seguridad administrados regularmente cuentan
con herramientas de correlacin de eventos con informacin eventualmente de diversos clien-
tes, lo que les ayuda en ocasiones a identificar ms rpidamente una amenaza que a un cliente
por s mismo. Por el otro lado, seguramente el personal tcnico de la misma organizacin co-
noce mejor el ambiente de operacin de la infraestructura tecnolgica y eso es un factor muy
valioso al momento de manejar un incidente, ante la necesidad de actuar con eficiencia y efica-
cia al momento de identificar adecuadamente las amenazas y descartar los falsos positivos, por
ejemplo.

2.10.3 Estructura organizacional

Algunas organizaciones tienen en su estructura organizacional unidades (divisiones, departa-
mentos, subdirecciones, etc.=) que trabajan de manera independiente. En tales circunstancias,
debe evaluarse la posibilidad de contar con un equipo de respuesta para cada una de esas uni-
dades, regulada por un centro de respuesta centralizado que se encargara de establecer la
comunicacin entre los dems equipos y de la implementacin de prcticas estndares para
todos los equipos definir las polticas de los servicios.

Pgina 104

Cuando se contrata a una organizacin externa, ya sea parcial o totalmente para la respuesta a
incidentes es necesario tomar en cuenta algunos aspectos importantes:
La calidad del trabajo, tanto actual como futura. Cuando se contrata a un tercero para hacer la
funcin del manejo y respuesta a incidentes, es conveniente evaluar no slo la calidad del ser-
vicio que pueda proporcionar en la actualidad, sino los planes y programas de mejora continua
de esa organizacin. Si se va a contratar el servicio de respuesta a incidentes de esta manera,
es conveniente establecer tambin acuerdos para vigilar la calidad del trabajo de la organiza-
cin que se est contratando.

2.10.4 Di visin de responsabilidades

Si se contrata a una entidad externa para el manejo de incidentes, es importante definir las res-
ponsabilidades y la autoridad sobre la operacin de la infraestructura tecnolgica de la organi-
zacin. Generalmente no es deseable que una entidad externa sea quien finalmente tome deci-
siones sobre la operacin tecnolgica de la organizacin. As, por ejemplo, cuando ocurre un
incidente con algn servidor, es probable que el centro de respuesta a incidentes decida que lo
que hay que hacer es desconectarlo de red. Sin embargo, seguramente la decisin sobre parar
o no las operaciones es algo que debe caer en la responsabilidad de la propia organizacin.
Este tipo de definiciones resultan de particular importancia cuando se contrata a un tercero para
llevar a cabo toda la operacin del manejo y respuesta a incidentes.

2.10.5 Proteccin de informacin confidencial

Es importante definir, en un contrato con una entidad externa que provea el servicio de manejo
de incidentes, la informacin a la que tendr acceso y cmo tendr acceso. De acuerdo a la
clasificacin de la informacin dentro de una organizaciones deben establecerse controles es-
pecficos para que el proveedor del servicio pueda acceder a determinada informacin o bien,
cmo deber proporcionar la informacin sobre un incidente de tal manera que alguien dentro
de la organizacin con los privilegios necesario para el manejo de informacin sensible o confi-
dencial sea quien pueda dar seguimiento a una investigacin a partir de la informacin propor-
cionada por el prestador del servicio de manejo de incidentes.

2.10.6 Falta de conocimiento especfico sobre la organizacin

El conocimiento detallado sobre la operacin y estructura de la organizacin es fundamental
para un anlisis preciso y para establecer la prioridad de los incidentes. Para que la operacin
de respuesta a incidentes funcione de manera adecuada de acuerdo a las necesidades de la
organizacin, es necesario establecer canales de comunicacin adecuados para intercambiar
informacin entre el proveedor del servicio y la organizacin sobre los aspectos importantes
relacionados con la respuesta a incidentes. Tal informacin puede incluir: recursos crticos, in-
tegracin de nuevos dispositivos, modificaciones en sistemas de informacin, dispositivos y
configuracin de red, etc. Esta comunicacin y actualizacin es fundamental para evitar que
haya incidentes que se manejen de forma inadecuada o incluso incidentes que no estn con-
templados por el prestador del servicio. Es importante tener en cuenta que problemas como los

Pgina 105

que se mencionan pueden ocurrir an si el centro de respuesta es operado por personal de la
misma organizacin si no existe la comunicacin adecuada.

2.10.7 Falta de correlacin de informacin

Para la respuesta a incidentes por parte de una entidad externa, es fundamental la correlacin
de eventos de diferentes fuentes. Para ello, es importante establecer un esquema bajo el cual
la entidad externa acceder a la informacin generada por los diversos dispositivos de la infra-
estructura tecnolgica, particularmente de monitoreo y control de seguridad, de la organizacin.
Es importante definir los canales de comunicacin adecuados para acceder a tal informacin y
definir responsabilidades sobre la informacin recolectada. Mucha de la informacin puede ser
crtica para la organizacin y su revelacin podra implicar un riesgo para la misma.

2.10.8 Manejo de incidentes en diversas ubicaciones geogrficas

En un contrato de servicio de manejo de incidentes por parte de una entidad externa es impor-
tante definir los tiempos de respuesta, como parte del acuerdo de nivel de servicio (SLA, por
sus siglas en ingls), de tal forma que se defina en qu situaciones el proveedor estar presen-
te fsicamente en las instalaciones de la organizacin, en cules instalaciones exactamente y
en qu tiempos.

Tener un equipo de respuesta a incidentes alternativo dentro de la organizacin. Si se contrata
de forma externa el servicio de respuesta a incidentes de forma completa, es importante man-
tener personal con las habilidades bsicas para proporcionar esta respuesta o bien, procurar
una capacitacin bsica constante para contar con esas habilidades. Por diversas razones, el
servicio de una entidad externa podra no estar disponible en el momento de que ocurra algn
incidente crtico de manera repentina, que ponga en riesgo la informacin y/o la infraestructura
tecnolgica de la organizacin. En caso de que ocurra un incidente de esta naturaleza bajo ta-
les circunstancias, es importante que el personal tcnico de la organizacin est capacitado
sobre cmo responder al incidente cuando no est presente el prestador contratado para tal
servicio, de acuerdo a los procedimientos que deben definirse en conjunto con el proveedor.

2.11 Dependencias dentro de las Organizaciones

Dentro de las organizaciones existe generalmente personal muy experto en el manejo de algu-
nos aspectos tcnicos y que conoce sobre el ambiente mismo en que stos se operan dentro
de la organizacin. Es fundamental para el centro de respuesta a incidentes de seguridad iden-
tificar a estas personas dentro de la organizacin ya que en algn momento puede requerirse
su participacin.

Adems del personal tcnico experto, la buena operacin del centro de respuesta depende
tambin de la participacin, colaboracin, apoyo e interaccin con otras unidades dentro de la
propia organizacin

Pgina 106

2.11.1 Administracin

De muchas maneras, la operacin del centro de respuesta a incidentes de seguridad informti-
ca depende de la administracin de la organizacin. Es la administracin quien se encarga de
establecer la poltica de respuesta a incidentes, el presupuesto, el personal. Sin apoyo de la
administracin, un centro de respuesta a incidentes simplemente no puede operar de forma sa-
tisfactoria. Por esta misma razn es importante definir en qu lugar de la estructura organiza-
cional se establece el centro de respuesta a incidentes. Generalmente es conveniente que se
conserve una independencia de las reas propiamente operativas.

2.11.2 Seguridad de la informacin

La interaccin del personal del centro de respuesta a incidentes con el personal dentro de la
organizacin que se encarga de la seguridad de la informacin es fundamental, entre otras co-
sas porque es muy comn que sea a travs de ellos como se reciba la notificacin de inciden-
tes de seguridad ocurridos. Adems, ellos son quienes operan y monitorean los controles de
seguridad de la infraestructura, por lo que en muchos de los incidentes se trabaja de manera
conjunta.

2.11.3 Telecomunicaciones

Una de las reas con quienes es fundamental mantener un punto de contacto permanente es
Telecomunicaciones. Muchos de los incidentes de seguridad informtica tienen que ver con el
trfico de red de entrada y salida, ya sea de voz o datos. Esto implica, con frecuencia, estar en
contacto con los proveedores del servicio de Internet (ISPs), monitorear y eventualmente con-
tener el incidente en el permetro de la red o en coordinacin con otras entidades involucradas
en el enlace a Internet, etc.

2.11.4 Soporte tcnico

Cuando se responde a un incidente de seguridad, el personal involucrado en el manejo del in-
cidente requiere de la colaboracin o de la consulta a los expertos en la operacin de la infraes-
tructura relacionada con el incidente. Quienes administran sistemas, la red y desarrollan soft-
ware son aliados muy tiles para entender el ambiente de operacin en que ocurri el incidente
y, por tanto, vale la pena tomar en cuenta su opinin al momento de tomar decisiones importan-
tes sobre la infraestructura.

2.11.5 Departamento jurdico

Un incidente de seguridad informtica puede derivar en un proceso administrativo dentro de la
organizacin por algn abuso o falta a una poltica de seguridad o incluso llegar hasta un pro-
ceso legal ante autoridades de procuracin de justicia. Por ello es importante apoyarse en un
departamento jurdico que, por una parte, revise las polticas y procedimientos de respuesta a

Pgina 107

incidentes de tal forma que se ajusten al marco regulatorio correspondiente y, por otra, propor-
cionen asesora y eventualmente se trabaje en conjunto para dar curso a un seguimiento legal
derivado de un incidente de seguridad.

2.11.6 Relaciones pblicas e institucionales (comunicacin social)

Es probable que, por el impacto de algunos incidentes, deba proporcionarse informacin a los
medios y, por tanto, al pblico en general. En tal caso, es conveniente buscar el apoyo de la
entidad encargada de las relaciones pblicas, institucionales o comunicacin social de la orga-
nizacin. Con ellos se puede definir la forma precisa en que deben emitirse comunicados de
acuerdo a las polticas de comunicacin establecidas en la organizacin. No hacerlo de este
modo podra ocasionar que se divulgara informacin innecesaria que eventualmente podra
confundir al pblico y/o perjudicar a la organizacin si la comunicacin no est adecuadamente
estructurada.

2.11.7 Recursos humanos
J unto con el departamento jurdico, el departamento de recursos humanos es una entidad a la
que es muy til recurrir ante incidentes que tienen que ver con abusos o faltas a estatutos y
normas de la organizacin.

2.11.8 Planeacin de la continuidad del negocio

Si un incidente afecta o puede afectar significativamente las operaciones normales de la orga-
nizacin, es necesario involucrar en el manejo del incidente al personal o comits encargados
de ejecutar los planes de continuidad del negocio. Finalmente, quienes conocen los riesgos
identificados en el plan de continuidad del negocio asociados con cada activo que pueda verse
afectado por un incidente son quienes mejor pueden ayudar a determinar acciones de conten-
cin que minimicen el impacto sobre las operaciones de la organizacin.

2.11.9 Seguridad fsica y administracin de instalaciones

Para el manejo de algunos incidentes es posible que se requiera la colaboracin de las perso-
nas responsables de la seguridad fsica y de control de las instalaciones. En algunos casos es
necesario incautar equipos que se encuentran en alguna oficina o instalacin cerrada bajo lla-
ve. O bien, durante la respuesta a un incidente es probable requerir el acceso a instalaciones
especficas para buscar informacin sobre el incidente, evidencia, realizar el monitoreo de
algn rea especfica, etc.

2.12 Equipo de Respuesta
2.12.1 Descripcin general

Pgina 108

Este modelo se refiere en realidad a la ausencia de un centro de respuesta a incidentes consti-
tuido como tal. Es un modelo bajo el cual una organizacin responde a incidentes de seguridad
con los recursos humanos y materiales existentes sin que exista un equipo o centro dedicado
para tal efecto. Operar de este modo en la organizacin significa que la respuesta a un inciden-
te se realiza por parte de la persona que administra los dispositivos o recursos involucrados en
l.

Es muy complicado establecer adecuadamente niveles de servicios y la respuesta a los inci-
dentes de seguridad de la informacin es muy heterognea ya que, aunque podra contarse
con algn tipo de guas bsicas, el xito en la respuesta al incidente depender en gran medida
de la capacidad y habilidades de administradores de sistemas, de red, desarrolladores, etc.
Con este tipo de modelo es complicada la implementacin de mejores prcticas en la respuesta
a incidentes y la investigacin y seguimiento coordinados. Hay tambin muy poca retroalimen-
tacin sobre un incidente y, por tanto, el aprendizaje para robustecer la seguridad de la infor-
macin es muy limitado.

Una desventaja importante de este esquema es que la responsabilidad de atencin a inciden-
tes recae en el mismo personal encargado de implementar los mecanismos de seguridad de la
informacin, administrarlos y monitorearlos. No existe una independencia en la investigacin de
un incidente y en algunos casos la informacin de la investigacin sobre el incidente podra no
ser precisa debido a que probablemente se busquen cubrir omisiones de la propia operacin.

2.12.2 Caractersticas particulares

Como no es propiamente un centro de respuesta a incidentes, no tiene una estructura definida
para su operacin, ya que sta se basa en las circunstancias en las que se presente cada inci-
dente que requiera ser atendido. El equipo de respuesta como tal incluso se conforma ad hoc a
las circunstancias del incidente.

Los reportes de incidentes no llegan de forma centralizad y en realidad el personal responsable
de cada activo implementa sus propios mecanismo para reportar y clasificar incidentes de se-
guridad.

No hay un sistema centralizado sobre informacin de reportes y seguimiento de incidentes. La
retroalimentacin sobre los incidentes ocurridos es generalmente muy limitada. Poca o compli-
cada coordinacin para el manejo de incidentes que involucren a varias reas de la organiza-
cin.

2.12.3 Servicios

Bajo este modelo, los servicios que se pueden proporcionar son limitados y regularmente se
enfocan nicamente a la respuesta a incidentes e incluso eso se cubre de manera limitada. Ya

Pgina 109

que el personal involucrado en el equipo de seguridad tienen otras responsabilidades, gene-
ralmente lo que buscar al manejar un incidente es investigar o identificar superficialmente las
causas y buscar la menara de mitigar el impacto del incidente. Es muy frecuente que el equipo
de seguridad realice una investigacin superficial del incidente, identifique probables causas y
consecuencias y tome medidas en funcin de esos hallazgos superficiales. Una investigacin
superficial podra llevar incluso a conclusiones equivocadas y, por tanto, a no implementar las
medidas preventivas adecuadas para evitar que el incidente se repita.
Adems del servicio de manejo de incidentes, tambin el equipo de seguridad es el encargado
de realizar medidas correctivas como configuracin y mantenimiento de dispositivos de seguri-
dad en diversos puntos de la infraestructura de cmputo y telecomunicaciones de la organiza-
cin.

La deteccin de incidentes de seguridad es algo que se cubre con un equipo de seguridad ya
que muchas veces es parte de las obligaciones de operacin del personal que puede integrar el
equipo de seguridad.

Con este modelo normalmente no se cubren servicios adicionales al manejo de incidentes co-
mo los de alertamiento y emisin de boletines. Al no haber una coordinacin centralizada es
difcil que se desarrollen programas de capacitacin y difusin para la prevencin de incidentes
de seguridad.

Incluso dentro del manejo de los incidentes, generalmente no se realizan anlisis exhaustivos
que involucren el anlisis de vulnerabilidades, anlisis de software malicioso, anlisis forense,
etc. Cuando se llevan a cabo, se desarrollan porque existe una necesidad ineludible para reali-
zarlos y la eficacia con que se realicen depende de las habilidades del personal del equipo de
seguridad.

2.12.4 Recursos

Este modelo no requiere de recursos humanos adicionales ya que delega la responsabilidad
del manejo de incidentes en el personal existente. Tampoco se requiere infraestructura adicio-
nal ya que en realidad no se conforma un centro de respuesta y por tanto no hay nuevo equipo
ni sistemas que soportar. Es probable, acaso, que se requiera equipo adicional que no se solici-
ta de forma planeada sino como consecuencia de algn incidente ocurrido para el cual podra
ser til equipo adicional.

2.12.5 Ventajas y desventajas

Probablemente la nica ventaja de este modelo es que no requiere recursos adicionales ni
nueva estructura para la organizacin. Las desventajas, en cambio, son muchas ya que la res-
puesta a los incidentes se dara de forma heterognea, sin la previsin suficiente para respon-
der de manera adecuada ante circunstancias crticas.

Con este modelo no se cuenta con un punto nico de contacto dentro de la organizacin para el
manejo de incidentes y tampoco con los elementos necesarios para verificar la calidad del ser-
vicio ni el beneficio para la organizacin de la respuesta a incidentes.

Pgina 110

2.13. Equipo de respuesta a incidentes centralizado
2.13.1 Descripcin General

En este modelo existe un nico equipo de respuesta a incidentes que se encarga del manejo
de todos los incidentes. El centro de respuesta cuenta normalmente con personal administrati-
vo y operativo dedicado 100% a los servicios que presta el centro, particularmente la respuesta
a incidentes de seguridad. Al tener personal dedicado, hay una variedad de servicios adiciona-
les que el centro puede proporcionar para definir e impulsar estrategias de seguridad de la in-
formacin en la organizacin.

Es un modelo adecuado para organizaciones pequeas y para aquellas organizaciones gran-
des cuya infraestructura tecnolgica no est en sitios geogrficamente distantes. El centro de
respuesta centralizado es el nico punto de contacto en toda la organizacin para la respuesta
a incidentes y reportes de vulnerabilidades.

El centro de respuesta centralizado debe estar cerca de la gerencia/administracin en la estruc-
tura jerrquica de la organizacin, en un nivel alto en la toma de decisiones respecto al control
de la informacin.

La administracin/coordinacin del centro debe procurar allegarse de personal especializado en
todas las reas necesarias para contar con personal calificado para evaluar situaciones de
emergencia adecuadamente y capaz de realizar anlisis y emitir recomendaciones acertadas
sobre las medidas que deben tomarse.

No todo el personal que participe en el centro de respuesta tienen que ser de tiempo completo.
Puede buscarse un esquema de asesoras/consultoras bajo demanda para algunas cuestiones
muy especializadas.

El centro de respuesta debe definir canales de comunicacin a travs de los cuales pueden
realizarse los reportes de incidentes por parte de los usuarios, estableciendo claramente los
medios, formas y horas de servicio del centro. Debe tomarse en cuenta que los usuarios del
centro de servicios pueden ser miembros de la organizacin pero tambin entidades externas u
otros centros de respuesta con los que se establezca contacto.

2.13.3 Servicios
Los servicios de un centro de respuesta centralizado son muy similares a los de un centro de
respuesta distribuido. Al existir una administracin/coordinacin central, se puede implementar
de manera eficiente el servicio de respuesta a incidentes y las actividades que ello conlleva:
respuesta en sitio, anlisis de vulnerabilidades, anlisis de software malicioso, anlisis forense,
seguimiento legal, etc., de acuerdo a cmo lo requiera el incidente.

Pgina 111

Al contar con personal dedicado para el centro de respuesta, deben implementarse servicios de
prevencin y de deteccin de incidentes. Entre otros, pueden desarrollarse programas de difu-
sin y capacitacin orientados a generar conciencia y difundir medidas preventivas entre el per-
sonal de la organizacin, en todos los niveles. Pueden disearse mecanismos y dispositivos de
deteccin de incidentes que implementen un servicio proactivo de alertas tempranas sobre
amenazas de seguridad de la informacin.

La cabeza del centro de respuesta debe proporcionar informacin a la administracin/gerencia
sobre el desempeo del centro de respuesta incluyendo informacin estadstica precisa sobre
las caractersticas de las solicitudes de servicio y el seguimiento de cada caso.
Algunos servicios adicionales como evaluacin de tecnologa de seguridad, evaluacin de ries-
gos, participacin en auditora de seguridad, implementacin de mejores prcticas, consultora,
investigacin de nuevas amenazas, son viables para un centro de respuesta a incidentes cen-
tralizado.

2.13.4 Recursos
Un centro de respuesta distribuido se conforma por una administracin central y miembros en
diversas unidades fsicas o lgicas. Dentro de la estructura central, debe contarse con:

Administrador/coordinador del centro de respuesta
Administrador de la infraestructura tecnolgica propia del centro de respuesta
Personal administrativo
Personal tcnico para el manejo de incidentes
Personal especializado para servicios adicionales
Desarrolladores de sistemas web

Otros recursos humanos que pueden requerirse son:

Editores (para todas las publicaciones)
Personal de relaciones pblicas
Personal jurdico
Expertos tcnicos adicionales

Este personal puede no formar parte de la administracin central ni estar necesariamente dis-
tribuidos en reas de la organizacin, sino participar con el centro de respuesta bajo demanda.

La organizacin debe tener en cuenta que el centro de respuesta requiere recursos humanos
especializados, lo cual regularmente implica tener que pagar salarios altos por el nivel de capa-
citacin y tambin por la responsabilidad que implica el manejo de incidentes de seguridad de
la informacin.

Dentro de los recursos materiales que deben contemplarse para la creacin del centro de res-
puesta distribuido estn:

Instalaciones fsicas
Equipo de oficina
Equipos de cmputo y telecomunicaciones

Pgina 112

Probablemente equipo de cmputo porttil
Equipo para recoleccin de evidencia (equipo de red, recolectores de trfico, discos
duros grandes, etc.)
Equipo para almacenamiento de grandes cantidades de informacin para la evidencia
digital recolectada en los incidentes

Adems de los requerimientos en equipo, se requiere software especializado para proporcionar
el servicios de respuesta a incidentes:

Sistema de seguimiento (tracking)
Software para cmputo forense
Software para pentest
Software para anlisis de software malicioso

Este modelo es el ms estable para un centro de respuesta a incidentes pero tambin el que
ms recursos requiere. Se puede contar con personal experto que se vaya especializando y
adquiriendo experiencia especfica en el manejo de incidentes. Al ser personal dedicado el que
conforma el centro de respuesta, se pueden desarrollar con facilidad iniciativas de mejora con-
tinua en los procesos y servicios.

Requiere un cambio en la estructura de la organizacin y eso no siempre es sencillo. Una des-
ventaja respecto del modelo distribuido es que el personal del centro de respuesta no est invo-
lucrado en el ambiente de operacin de la infraestructura tecnolgica de la organizacin y, por
lo tanto, regularmente en el manejo de incidentes se requiere de la colaboracin del personal
operativo.

2.14. Equipo de respuesta a incidentes distribuido

En este modelo, la organizacin cuenta con varios equipos de respuesta a incidentes. Todos los
equipos conforman el centro de respuesta. Se crean o definen equipos de respuesta a inciden-
tes para responder incidentes especficos. Los equipos pueden crearse de acuerdo a segmen-
tos lgicos o fsicos. En este caso, los equipos de respuesta pueden crearse por cada divisin
de la organizacin o bien por unidades geogrficas. El personal de los equipos de respuesta a
incidentes puede estar asignado a tareas operativas pero colabora con el centro de respuesta
cuando ocurren incidentes en su circunscripcin. La otra posibilidad es que el personal que
est geogrficamente distribuido pertenezca directamente al centro de respuesta y por lo tanto
reporte nicamente a l.

Es importante que todos los equipos estn coordinados por una unidad central que permita ga-
rantizar que el servicio de respuesta a incidentes que proporciona cada uno de los equipos es
consistente con el de todos los dems y con el que la organizacin ha definido. Establecer una
entidad de coordinacin centralizada tambin facilita el intercambio de informacin entre los

Pgina 113

distintos equipos de respuesta, lo cual es fundamental en este modelo ya que puede haber in-
cidentes en que deban integrarse de manera coordinada ms de uno de los equipos de res-
puesta. Adems, al haber una administracin centralizada del centro de respuesta, hay un con-
trol de las operaciones de todo el centro de respuesta y tambin hay un medio de comunicacin
claro hacia la direccin y administracin de la organizacin, lo cual es muy til para la toma de
decisiones de manera efectiva en medio de una crisis generada por un incidente de seguridad.

Claramente, este modelo es ms adecuado para grandes organizaciones o bien para aquellas
que cuentan con varias unidades en diversos sitios geogrficos.


Para que el centro tenga funcionalidad jerrquica debe estar ubicado, en la estructura de la or-
ganizacin, cerca de la direccin. El centro de respuesta debe contar con un administra-
dor/director y puede contar con un equipo que dependa directamente de l. Como se men-
cion, el personal que participa en el centro de respuesta puede estar formalmente asignados a
otras reas. Si es el caso, puede haber algunas personas que s dependan directamente del
administrador/directos del centro de respuesta.

Los miembros del centro de respuesta pueden ser administradores de red, de sistemas, perso-
nal de soporte tcnico, y tambin personal del departamento jurdico o del departamento de re-
laciones pblicas. La organizacin debe decidir cuntos miembros conformarn el centro de
respuesta.

Si el personal del centro de respuesta estar asignado a otras funciones de manera cotidiana,
es necesario dejar claro cules son las circunstancias bajo las cuales responder al centro de
respuesta y, por tanto, en qu circunstancias reportar a cada jefe. Adems, debern estable-
cerse claramente los canales de comunicacin que permitirn tomar acciones del centro de se-
guridad de manera inmediata cuando un incidente ocurre. Debe definirse tambin que cuando
se alerta sobre un incidente y sobre la necesidad de participacin de algn miembro del centro
de respuesta, ste debe dejar sus labores cotidianas para integrarse al manejo del incidente.

Respecto de los mecanismos para reportar incidentes, es importante definir si stos deben rea-
lizarse de manera directa a la coordinacin del centro de respuesta, ya sea de manera directa o
a travs de una mesa de ayuda, o bien estos podran realizarse de manera local a travs de los
equipos distribuidos. Dependiendo de la decisin, debe capacitarse adecuadamente al personal
necesario en el proceso de reporte, clasificacin y asignacin de incidentes de seguridad.

2.14.3 Servicios

En este esquema organizado y estructurado de un centro de respuesta, al existir una coordina-
cin central, se puede implementar de manera eficiente el servicio de respuesta a incidentes y
las actividades que ello conlleva: respuesta en sitio, anlisis de vulnerabilidades, anlisis de
software malicioso, anlisis forense, seguimiento legal, etc., de acuerdo a cmo lo requiera el
incidente.

Pgina 114

La cabeza del centro de respuesta debe proporcionar informacin a la administracin/gerencia
sobre el desempeo del centro de respuesta incluyendo informacin estadstica precisa sobre
las caractersticas de las solicitudes de servicio y el seguimiento de cada caso.
Adems de los servicios principales de respuesta a incidentes, la coordinacin central puede
implementar programas de prevencin en el que participen todos los miembros del centro de
respuesta. El servicio de alerta y avisos de seguridad s es algo que debe implementarse en
este modelo y la responsabilidad de ese servicio debe ser de la administracin del centro de
respuesta.

Algunos otros servicios pueden implementarse en ocasiones especficas y dependiendo de la
disponibilidad el personal que participa en el centro de respuesta: evaluacin de tecnologa,
implementacin de mejores prcticas.

2.14.4 Recursos

Un centro de respuesta distribuido se conforma por una administracin central y miembros en
diversas unidades fsicas o lgicas. Dentro de la estructura central, debe contarse con:

Personal administrativo (al menos una persona)
Analistas para el manejo de incidentes
Otros recursos humanos que pueden requerirse son:
Personal jurdico
Expertos tcnicos adicionales

Este personal puede no formar parte de la administracin central ni estar necesariamente dis-
tribuidos en reas de la organizacin, sino participar con el centro de respuesta bajo demanda.
La organizacin debe tener en cuenta que el centro de respuesta requiere recursos humanos
especializados, lo cual regularmente implica tener que pagar salarios altos por el nivel de capa-
citacin y tambin por la responsabilidad que implica el manejo de incidentes de seguridad de
la informacin.

Equipo de oficina
Probablemente equipo de cmputo porttil
Equipo para almacenamiento de grandes cantidades de informacin para la evidencia


Pgina 115



Al contar con una administracin centralizada del centro de respuesta, los servicios se imple-
mentan de manera coordinada bajo definiciones estandarizadas y con la participacin de per-
sonal especializado.

Una ventaja del centro de respuesta distribuido es que se conforma de gente experta de diver-
sas reas y que, si se opta por el esquema de trabajo parcial para el centro, el personal puede
ser un apoyo para el centro de respuesta y para la organizacin en la implementacin de medi-
das de prevencin y deteccin en las diversas reas, ya que deber ser permanentemente ca-
pacitado y actualizado en materia de seguridad informtica por el centro de respuesta.

La desventaja que puede tener este esquema es que no siempre es fcil ni lo ms conveniente
asignar nuevas responsabilidades al personal que ya tiene tareas operativas asignadas. Puede
ser difcil coordinar al personal que participa en el centro de respuesta a incidentes ya que pro-
bablemente tenga que responder a dos jefes. La comunicacin puede efectiva puede ser una
de las debilidades de este esquema si no se definen los medias adecuados para establecerla.

2.15. Centro Coordinador

Un centro de respuesta de este tipo tiene como funciones principales coordinar y facilitar la res-
puesta a incidentes de seguridad de la informacin y el manejo de vulnerabilidades en una cir-
cunscripcin regularmente amplia, que abarca ms all de la organizacin a la que pertenece el
centro de respuesta. Esto es, se trata de un equipo que proporciona asesora e informacin a
otros equipos de otras entidades sobre las que no necesariamente ejerce autoridad directa.
Dentro de las actividades que realiza un centro coordinador est el intercambio de informacin,
la definicin de estrategias para mitigar el impacto de las amenazas de seguridad informtica
emergentes y recomendaciones para la recuperacin en caso de incidentes. Con frecuencia, un
centro coordinador realiza investigacin sobre nuevas amenazas.

Una actividad importante de este tipo de centros es la generacin de guas, boletines, mejores
prcticas, avisos sobre soluciones para mitigar el impacto de incidentes y sobre recuperacin
luego de la ocurrencia de alguno.

La importancia de este tipo de centros radica en la influencia que deben ejercer en la toma de
decisiones de seguridad de la informacin para las diversas organizaciones de su circunscrip-

Pgina 116

cin. Hay varios centros de respuesta coordinadores reconocidos en todo el mundo, entre ellos
CERT/CC, J PCERT/CC, DFN-CERT, CERT-NL, AP-CERT, TF-CSIRT (TERENEA Task Force).


La circunscripcin de un centro de respuesta coordinador puede incluir, por ejemplo, divisiones
de una corporacin, diversas entidades de un gobierno, un estado un un pas entero.
Como en el caso de un centro de respuesta centralizado, un centro coordinador normalmente
opera con personal dedicado, una ubicacin fsica central y una administracin/direccin nica.
Requiere personal especializado en manejo de incidentes y las reas que ello involucra, aun-
que tambin se puede operar bajo un esquema de tener un equipo tcnico base y contar con la
referencia de especialistas en diversas tecnologas que pueden pertenecer a las mismas enti-
dades dentro de la circunscripcin del centro coordinador.

Las funciones principales del centro son actuar como un centro de coordinacin eficiente en
diversos niveles de las organizaciones dentro de la circunscripcin para dirigir las acciones de
respuesta ante incidentes y amenazas de seguridad de la informacin. En cuanto a la difusin
de informacin sobre amenazas en curso o potenciales, el centro coordinador debe realizar una
recoleccin y sntesis de informacin para emitir comunicaciones a las organizaciones en su
circunscripcin.

De igual forma que los centros de respuesta centralizados y distribuidos, el centro coordinador
requiere de canales bien definidos para el proceso de reporte de incidentes y procedimientos
claros para la clasificacin y asignacin de incidentes de seguridad.

2.15.3 Servicios

El servicios principal de un centro coordinador de respuesta a incidentes es el manejo de inci-
dentes y puede proporcionar apoyo y asesora tcnica en tareas asociadas al mismo como res-
puesta en sitio, anlisis de vulnerabilidades, anlisis de software malicioso, anlisis forense,
apoyo tcnico en el seguimiento de incidentes ante alguna autoridad de procuracin de justicia,
etc. No todas las tareas asociadas al manejo de incidentes son desarrolladas por un centro coor-
dinador, a diferencia de un centro de respuesta centralizado. Es importante recalcar que la fun-
cin bsica de este tipo de centros es coordinar los trabajos de respuesta y acta en conjunto
con otros centros de respuesta en cada una de las organizaciones que conforman la circunscrip-
cin. Entonces, las tareas asociadas al manejo en sitio de incidentes normalmente son respon-
sabilidad de los centros de respuesta de cada organizacin, con apoyo o coordinacin de un
centro coordinador de respuesta a incidentes.
Adems, debe proporcionar el servicio de alerta y comunicacin sobre amenazas a la seguridad
de la informacin a las divisiones u organizaciones en su circunscripcin. Es particularmente im-
portante la sntesis de la informacin tcnica disponible de modo que se proporcione un valor
agregado a la recopilacin de informacin sobre amenazas. En base a informacin sintetizada y
concreta se pueden emitir comunicaciones y publicaciones valiosas para mitigar el impacto de
las amenazas en la circunscripcin.
Otros servicios que proporciona un centro coordinador es el anlisis de amenazas, que involucra
tareas como el anlisis de software malicioso y la deteccin proactiva de amenazas. Adems, es

Pgina 117

conveniente que de forma cotidiana o eventual realice evaluacin de tecnologa para la seguri-
dad de la informacin, as como la evaluacin de mejores prcticas y estndares de seguridad de
la informacin.
Al ser una referencia en materia de seguridad de la informacin en su circunscripcin, es muy
frecuente que los centros coordinadores observen la necesidad u oportunidad de desarrollar
programas de capacitacin en sus reas de especialidad: manejo de incidentes, anlisis de ame-
nazas, implementacin de tecnologa de seguridad informtica, implementacin de mejores
prcticas, etc.

2.15.4 Recursos
Un centro coordinador de respuesta a incidentes requiere de una estructura operativa que le
permita desarrollar los servicios para los que fue creado. Requiere de recursos humanos y ma-
teriales especializados. Los recursos humanos que se requieren, incluyen:

Personal administrativo (al menos una persona)
Analistas para el manejo de incidentes
Especialistas en evaluacin de tecnologas
Expertos en la implementacin de mejores prcticas

Adems, como en los otros modelos, debe contarse en el mismo centro de respuesta o como
consultores externos o en alguna de las organizaciones de la circunscripcin a:

Personal jurdico
Expertos en tecnologas especficas.

Tener ubicados a estos expertos permite al centro coordinador consultar puntos especficos del
anlisis de incidentes y de los contenidos de comunicacin que se generen.


Equipo de oficina
Instalaciones para laboratorios de pruebas, incluyendo equipo de cmputo,
telecomunicaciones, etc.
Equipo de cmputo porttil
Equipo para almacenamiento de grandes cantidades de informacin para evidencia


Pgina 118



Una de las principales ventajas de este modelo de centro de respuesta es que permite contar
con un grupo de especialistas en manejo de incidentes de seguridad de la informacin traba-
jando de forma coordinada en un mismo sitio de tiempo completo. Adems, al operan de mane-
ra transversal entre organizaciones, el aprendizaje de casos especficos puede ser aprovecha-
do por las dems organizaciones de la circunscripcin.

Una desventaja es que los especialistas del centro coordinador no estn involucrados en la
operacin cotidiana de las organizaciones que conforman la circunscripcin por lo que, si no se
establece la comunicacin adecuada de consulta tcnica, es probable que algunas de las co-
municaciones y recomendaciones del centro coordinador parezcan operativamente inviables.

Puede ser complicada la planeacin de un centro coordinador de respuesta ya que la cobertura
podra ser muy amplia y crecer eventualmente. Por ello puede ser difcil establecer el tamao
del equipo y los recursos que se requieren, adems de los medios de financiamiento.
Adems, no siempre es sencillo establecer una independencia del centro de respuesta respec-
to de la organizacin que lo impulsa o lo financia.

Pgina 119

CAPITULO 3.1

Propuesta de Especializacin
de Funciones en el interior de
un Centro de Respuesta a
Incidentes Informticos

Pgina 120

Informacin del Captulo 3.1

NOMBRE DOCUMENTO: Propuesta de Especializacin de Funciones en el inter-
ior de un Centro de Respuesta a Incidentes Informti-
cos.

FECHA DE CREACIN: Montevideo, 28 de Noviembre de 2009.

AUTOR: Ing. Leonardo Vidal.




Resumen.
En el presente captulo se documenta una propuesta de Especializacin de Funciones a im-
plementar en el interior de un Centro de Respuesta a Incidentes de Seguridad Informtica.
Esta propuesta considera cuatro aspectos: Segregacin de Funciones, Descripcin de dichas
Funciones, Desarrollo de Manuales y Procedimientos y Diseo de un Flujograma del Proceso
de Gestin de Incidentes, end to end. En la seccin Segregacin de Funciones se mencionan
aquellas que componen el core de un Centro de Respuesta a Incidentes de Seguridad Inform-
tica, para describir luego cada una de ellas en la seccin siguiente; posteriormente se brindan
pautas recomendables a seguir para el Desarrollo de Manuales y Procedimientos dentro del
Centro, culminando con la presentacin de un Flujograma end to end que describe las diferen-
tes acciones, polticas, procedimientos, funciones y procesos involucrados en la gestin de in-
cidentes de seguridad.

Pgina 121

3.1 Segregacin de Funciones
3.1.1 Introduccin
En el interior de un Centro de Respuesta a Incidentes de Seguridad Informtica [CERT-hb]
identificamos varias funciones a cumplir por sus integrantes.
Dichas funciones deberan ser independientes del modelo organizacional adoptado por el Cen-
tro. S es factible que las mismas posean diferente grado de importancia en la actividad del
Centro, condicionado sto al modelo seleccionado (el cual puede cambiar a lo largo de la vida
del Centro). Ahondaremos ms adelante en ello, apoyndonos en algunos ejemplos para fijar el
concepto que se desea transmitir. Por otro lado existe una dependencia ms marcada y ms
fcilmente identificable con los servicios que le brinda el Centro a su Comunidad Objetivo (o
Constituency). Este aspecto tambin ser profundizado ms adelante.
Siempre resulta conveniente realizar el ejercicio de identificar las funciones en cada Centro, ya
sea en el momento que se est concibiendo la idea de su formacin as como tambin durante
su vida como tal. El anlisis en el momento de la tormenta de ideas previo a su creacin pue-
de ayudar incluso a enriquecer la discusin sobre el modelo organizacional ms conveniente.
La realizacin de dicho ejercicio durante la vida del Centro siempre resultar provechoso para
analizar tanto el funcionamiento del Centro como los servicios ofrecidos a la Comunidad Objeti-
vo. Incluso la propia dinmica del Centro y hasta la consideracin de cambio de modelo organi-
zacional motivar el replanteo de si la actual segregacin de funciones es la adecuada.
Una de las claves del xito de un Centro de Respuesta es tener dichas funciones claramente
identificadas y estar preparados para reaccionar en tiempo y forma para modificar su concep-
cin e incluso para contemplar otras nuevas.
Tambin resulta clave para el buen desempeo del Centro de Respuesta que la segregacin
de funciones se la considere como lo que es, una distribucin de tareas y una identificacin de
responsables y referentes de cada una de ellas, como una forma de organizar el trabajo dentro
del Centro.
Frecuentemente se denomina en la bibliografa y artculos de la temtica al Centro de Respues-
ta como Equipo de Respuesta, lo que no hace ms que resaltar el espritu que debe subyacer
en todo Centro de Respuesta para que lleve adelante su tarea: ser un equipo
Por lo tanto, debemos segregar las funciones del Centro de Respuesta y no las personas que
lo integran.
. De nada servir
crear un Centro de Respuesta donde se convoque a los mejores a los que se pueda acceder
en cada funcin identificada, si no se logra una cohesin entre las personas que llevan adelan-
te dichas funciones (responsables o no de ellas) y logran trabajar como un verdadero equipo.
No se debe perder de vista que el servicio fundamental que brinda un Centro de Respuesta es
la gestin de incidentes y en muchos casos la gestin de incidentes podr estar rodeada de
estrs, nervios, presiones de diversa ndole, y situaciones y estados de nimo que ponen a
prueba la vinculacin entre las personas; en caso de no ser esta la mejor o por lo menos muy
buena, el equipo sufrir algn tipo de fisura y ms tarde o ms temprano lo afectar y por lo
tanto tambin a la Comunidad Objetivo, por afectar los servicios que aquel debe brindar a sta.

Pgina 122

Para fijar el concepto pensemos en los numerosos ejemplos que han habido a lo largo de la
historia del ftbol mundial en el que clubes invirtieron millones de dlares o euros para la con-
tratacin de grandes estrellas y conformar su plantel profesional, pero terminaron fracasando
frente a otros que sin grandes nombres lograron un conformar un verdadero equipo. Esos
clubes que fracasaron quizs identificaron clara y correctamente las principales funciones a lle-
var adelante en la cancha: golero, defensa, carrilero, armador, delantero de rea, punta por
afuera y para cada funcin, salieron a buscar al mejor y lo contrataron, pero nunca pudieron
plasmar un verdadero equipo, porque en las actividades colectivas nunca la suma de los mejo-
res esfuerzos redunda en el mejor resultado si no se complementa con una adecuada coordi-
nacin, vinculacin y una clara definicin de objetivos y estrategias para lograrlos.
Una prctica altamente recomendada en todo actividad colectiva (como es el caso de un Cen-
tro de Respuesta) es que la vinculacin entre sus diferentes integrantes no sea nicamente
tcnica y siempre haciendo nfasis en la cadena de mando. Se deben fomentar as actividades
sociales que fortalezcan la vinculacin de los miembros del Centro, sus familias y amigos. Re-
sulta as muy positivo que se compartan momentos de distensin como ser organizar comidas,
reuniones, actividades deportivas, asistencia a eventos culturales y/o deportivos entre otras,
donde se puedan fortalecer los vnculos entre ellos, lo que adems de ser beneficioso para las
personas, seguramente tambin lo ser para el funcionamiento del Centro. En estos casos es
conveniente la tarea (nada sencilla) que durante dichas actividades no se comenten aspectos
vinculados al trabajo en el Centro de Respuesta. Es de destacar que hay un aspecto que juega
a favor de que ello no ocurra y es que mucha de la informacin que se maneja en el Centro
est clasificada como confidencial y por otro lado, es habitual que sus integrantes firmen un
NDA (Non-Disclosure Agreement), al que en la regin tambin se le conoce como Compromiso
de Confidencialidad, por lo que tambin por esa va se vern impedidos de realizar comenta-
rios, incluso a su familia. Finalmente, aunque no por ello menos importante, puede resultar muy
positivo para todo el equipo que las personas que tienen a su cargo las funciones de direccin
del Centro se desprendan por unas horas de dicho rol y asuman otro completamente distinto,
buscando ser uno ms en la actividad a realizar; por ejemplo que el Director del Centro tenga la
iniciativa de: yo me encargo de reservar la cancha para el partido de ftbol y mi seora de
comprar lo que vamos a comer.
Por otro lado, la propia esencia de los servicios que brinda un Centro de Respuesta implica que
a veces la disponibilidad de sus integrantes se deba requerir fuera del horario de oficina. Esta
modalidad de trabajo se debe contemplar de alguna forma, pudiendo ser mediante incentivos
econmicos, flexibilidad horaria u otros, e incluso con una combinacin de ellos. Este tipo de
prcticas ayudan a fidelizar a los integrantes del Centro ya que se sienten ms cmodos en su
trabajo cotidiano y les permite llevar adelante su vida privada de una manera adecuada.
3.1.2 Las funciones

Las funciones identificadas en la presente propuesta son las siguientes:

Directorio
Director Ejecutivo
Comit Ejecutivo
Gerente Operacional

Pgina 123

Difusin
Infraestructura
Triage
Documentacin
Capacitacin y Entrenamiento
Logstica
Investigacin
Legal
Gestin de incidentes
Embajadores
Formacin Continua
Comercial
Financiero y Econmico

Los nombres de cada una de las funciones, si bien son ampliamente difundidos, no significan
ninguna regla a respetar y deben ser considerados como una posible referencia a seguir.

No es habitual encontrar un Centro de Respuesta que cuente con una persona fsica para cada
una de las funciones mencionadas, y menos an si se intenta realizar dicha asociacin en el
momento de la creacin del mismo, por lo que la mayora de los Centros nacen con un equipo
de integrantes donde cada uno tiene la responsabilidad en ms de una funcin, siendo posible
que a medida que el Centro se afianza en su actividad pueda incorporar ms integrantes y as
tender a una relacin ms biunvoca entre funciones y personas.

3.1.3 Descripcin de las Funciones

Para cada una de las funciones ennumeradas en la seccin 1.2 se ofrecer a continuacin una
descripcin, proporcionndose adems un detalle de diferentes formas en que se pueden vin-
cular entre s.

3.1.3.1 Directorio

Un Centro de Respuesta podr contar con un Directorio como componente ms alto en el or-
ganigrama del mismo. En caso de existir, en general sus funciones estarn asociadas princi-
palmente a aspectos polticos y de vinculacin quizs con el gobierno, buscando brindar al cen-
tro el apoyo y el nexo poltico que pueda requerir.

Sus integrantes deberan ser miembros reconocidos en la comunidad donde actuar el Centro
de Respuesta. Puede resultar conveniente que el Director Ejecutivo sea miembro del Directorio
o que en su defecto, pueda ser convocado a las reuniones que se realicen. A priori no aparece
como adecuado que un integrante del Comit Ejecutivo que no sea el Director Ejecutivo sea
quien asista a las reuniones del Directorio, pues le agrega complejidad a la logstica de las reu-
niones y no se trata de la persona que en ese momento est en contacto ms directo con el
resto de los integrantes del Centro.

Pgina 124

La frecuencia de las reuniones del Directorio no debera ser muy alta (no menor a dos meses)
pues los temas a tratar son en general de lneas estratgicas de ejecucin a mediano o largo
plazo.

Tambin resulta importante que se contemple un mecanismo de conovocatoria del Directorio
en caracter de grave y urgente ante hechos que as lo amediten. Puede ocurrir que alguno de
sus integrantes no pueda estar presente fsicamente, por ejemplo, por encontrarse distante de
las oficinas del mismo y sin la posibilidad de llegar a tiempo a la reunin citada o por encontrar-
se indispuesto en su hogar; en dicho caso resulta aconsejable un adecuado uso de las TICs,
por ejemplo realizando una videoconferencia con las medidas de seguridad requeridas en estos
casos, ya que si la reunin es convocada en carcter de grave y urgente es porque la temtica
de la misma es muy delicada y puede requerir de confidencialidad. Se entiende que es muy
poco probable que se recurra a este mecanismo por la propia funcin del Directorio. Podemos
asociar, pero no con extrema rigurosidad, que el Directorio estar ms ligado a la Visin del
Centro de Respuesta.

3.1.3.2 Director Ejecutivo

Todo Centro de Respuesta deber identificar quin (o quienes) tendr a su cargo la funcin de
Director Ejecutivo. sta funcin deber recaer en una (o varias) persona con capacidad de
mando, liderazgo y motivacin claramente demostrable e identificable.
Quien lleve adelante dicha funcin debera estar capacitada y entrenada en el rea de gestin
de incidentes de seguridad as como en la gestin de proyectos y gestin empresarial. Ello no
implica que cuente con las mejores certificaciones en las reas mencionadas, pero sin duda
que el tenerlas, redunda en un beneficio para el Centro en su operativa diaria, motiva a sus in-
tegrantes a capacitarse y entrenarse y presenta una mejor imagen del Centro frente a la Co-
munidad Objetivo.
Mencionamos en el prrafo anterior la posibilidad de que la funcin de Director Ejecutivo pudie-
ra recaer en ms de una persona. Con ello se quiere significar que la Direccin del Centro pue-
de estar a cargo de un Comit Ejecutivo quien designa a uno de sus integrantes como Director
Ejecutivo pro tempore (por un tiempo). En caso que el mando del Centro de Respuesta se or-
ganice de esta manera, resulta fundamental que el resto de los integrantes del Centro conozca
de antemano y con una antelacin razonable quin tendr a su cargo la funcin de Director
Ejecutivo y por cunto tiempo. No es recomendable, salvo por causas debidamente justificadas,
cambiar el Director Ejecutivo cada poco tiempo, por ejemplo cada un ao, pues entre otros in-
convenientes la logstica no es sencilla y tanto para el resto de los integrantes del Centro como
para la Comunidad Objetivo puede terminar siendo no la mejor imagen del mismo.
En caso de existir un Comit Ejecutivo, resulta fundamental que el mismo brinde una imagen
homognea y sin fisuras hacia el Centro y hacia la Comunidad Objetivo, siendo la situacin
ideal aquella en la que el Centro brinda todos sus servicios, en particular la gestin de inciden-
tes de la misma forma, sin importar quin est circunstancialmente ocupando el cargo de Direc-
tor Ejecutivo. Podemos fijar este concepto con una situacin no deseada, que sera por ejemplo
el caso en que un integrante de la Comunidad Objetivo espera ansiosamente el cambio de Di-
rector Ejecutivo para contactar al Centro ante determinada inquietud o propuesta.

Pgina 125

El Director Ejecutivo debe mantener reuniones peridicas con el resto de los integrantes del
Centro de Respuesta o con algn representante de ellos (que debe ser miembro del Centro),
con una frecuencia que no debera ser menor a una vez por semana. Sumado a ello, es reco-
mendable que el Director tenga un contacto diario con ellos, pero no como una herramienta de
presin y de establecer presencia, sino como una manera de estar al tanto de la actividad del
Centro y ofrecer el apoyo que el resto de los integrantes necesitan por el tenor de la actividad
que realizan.
El Director Ejecutivo, en caso de existir el Comit Ejecutivo, debera elaborar un documento a
presentar a cada uno de sus integrantes (informe), donde como mnimo se debera incluir:
reporte de actividades del Centro desde la ltima reunin
inquietudes surgidas en el Centro desde la ltima reunin
identificacin de necesidades del Centro
planteos recibidos desde la Comunidad Objetivo
informacin relevante para el Centro, obtenida por vas formales e informales
propuesta de acciones futuras
Dicho documento se puede elaborar en conjunto con el resto de los integrantes del Centro o
con un representante de ellos.
Si el Comit Ejecutivo no existe dicho informe puede ser til para presentar al Directorio (si
existe).
El documento mencionado servir como agenda para la reunin del Comit Ejecutivo y es re-
comendable que sea elaborado y distribuido, con las medidas de seguridad necesarias, con
cierta antelacin (por ejemplo dos das hbiles antes de la reunin) de forma que el resto de los
integrantes del Comit dispongan de un tiempo prudencial para concurrir a la reunin con un
conocimiento previo de los temas a tratar y que la misma resulte ms provechosa.
Adicionalmente es altamente recomendable que se elabore un acta de la reunin del Comit
Ejecutivo. La misma no tiene porqu ser distribuida al resto de los integrantes del Centro pero
se debe asegurar que los mismos estn en conocimiento de aquellas decisiones relevantes pa-
ra el funcionamiento del Centro y para el trabajo de cada uno de sus integrantes.
Podemos asociar, pero no con extrema rigurosidad, que el Director Ejecutivo estar ms ligado
a la Misin del Centro de Respuesta.
3.1.3.3 Comit Ejecutivo

La direccin ejecutiva de un Centro de Respuesta podr recaer en un conjunto de Directores
Ejecutivos actuando uno por vez con la funcin de Director Ejecutivo. Es recomendable que el
nmero de integrantes del Comit Ejecutivo sea impar, para que la toma de algunas decisiones
se pueda realizar por votacin, aunque siempre es conveniente buscar el consenso y fomentar
el dilogo y no la imposicin. En caso se tratarse de un nmero par de personas, puede adop-
tarse el criterio de que el voto del Director Ejecutivo actual valga doble.

Pgina 126

En caso de existir el Comit, es recomendable que realice reuniones peridicas para que todos
sus integrantes conozcan de primera mano la marcha del Centro y se analicen planteos e in-
quietudes que pudiesen llegar por diferentes vas, formales y no. Se entiende que un perodo
razonable para las reuniones del Comit Ejecutivo es 15 o 30 das. Un tiempo menor podra
llegar a ocasionar un desgaste excesivo para sus integrantes y una prdida de eficiencia de
cada reunin, por ejemplo por ausencia de algunos de sus integrantes (est llloviendo, hoy no
voy a la reunin del Comit, no importa tanto, igual nos reunimos dento de dos das otra vez) y
un tiempo mayor puede llegar a tener como consecuencia negativa el hecho que los tiempos de
la actividad del Centro y los tiempos de respuesta requeridos por la Comunidad Objetivo no
estn acompasados con la frecuencia de reuniones el Comit Ejecutivo (hace tres semanas
que planteamos la necesidad de un plan de capacitacin pero como el Comit Ejecutivo se
rene recin dentro de un mes y yo en quince das tengo que confirmar o no el gasto, tendr
que buscar otra alternativa), lo que puede terminar generando molestias, prdida de integran-
tes de la Comunidad Objetivo, deterioro de la imagen del Centro y poniendo el riesgo su activi-
dad de futuro.
Tambin resulta importante que se contemple un mecanismo de conovocatoria del Comit en
caracter de grave y urgente ante hechos que as lo amediten. Puede ocurrir que alguno de sus
integrantes no pueda estar presente fsicamente, por ejemplo, por encontrarse distante de las
oficinas del mismo y sin la posibilidad de llegar a tiempo a la reunin citada o por encontrarse
indispuesto en su hogar; en dicho caso resulta aconsejable un adecuado uso de las TICs, por
ejemplo realizando una videoconferencia con las medidas de seguridad requeridas en estos
casos, ya que si la reunin es convocada en carcter de grave y urgente es porque la temtica
de la misma es muy delicada y puede requerir de confidencialidad.
En caso de existir el Directorio, un representante del Comit Ejecutivo (preferentemente el Di-
rector Ejecutivo) debera elaborar un documento (informe) a presentar a cada uno de sus in-
tegrantes, donde como mnimo se debera incluir:
Un resumen de la informacin contenida en los documentos agenda y acta elabora-
dos en el contexto del Comit Ejecutivo (si existe) o en su defecto un documento que
rena las cosas ms importantes ocurridas en el seno del Centro desde la ltima reu-
nin del Directorio
Inquietudes o planteos que se vinculan a la funcin del Directorio
Dicho documento se puede elaborar en conjunto con el resto de los integrantes del Comit Eje-
cutivo.
El documento mencionado servir como parte de la agenda para la reunin del Directorio y es
recomendable que sea elaborado y distribudo, con las medidas de seguridad necesarias, con
cierta antelacin (por ejemplo dos das hbiles antes de la reunin) de forma que los integran-
tes del Directorio dispongan de un tiempo prudencial para concurrir a la reunin con conoci-
miento previo de los temas a tratar y que la misma resulte ms provechosa.
Adicionalmente es altamente recomendable que se elabore un acta de la reunin del Directorio.
La misma no tiene porqu ser distribuda al resto de los integrantes del Centro pero se debe
asegurar que los mismos estn en conocimiento de aquellas decisiones relevantes para el fun-
cionamiento del Centro y para el trabajo de cada uno de sus integrantes.

Pgina 127

3.1.3.4 Gerente Operacional
Dentro de un Centro de Respuesta podemos identificar la funcin de Gerente Operacional. Se
trata de una funcin en general siempre presente pero no siempre formalizada. Podemos aso-
ciar dicha funcin a aquella persona que tiene la visin ms general y completa de la actividad
del Centro, pero ms cercana a la operacin da a da del mismo. Adicionalmente suele ser la
persona que tiene la tarea de representar al resto de los integrantes del Centro frente al Direc-
tor Ejecutivo.
La funcin de Director Operacional puede ser desempeada por una nica persona o se puede
rotar entre algunos o todos los integrantes del Centro. En caso de utilizar el mecanismo de ro-
tacin, es recomendable tener siempre el objetivo de que la funcin como tal se cumpla de la
misma manera, siendo lo ideal que, para el Director Ejecutivo, resulte transparente quin la
desempea en determinado momento.
De haber rotacin, y para no agregar demasiada complejidad a su gestin, la frecuencia de la
misma no debera ser mayor a, digamos, una vez cada tres meses.
Como fortaleza de la funcin, podemos indicar que la presencia del Gerente Operacional sirve
para organizar la vinculacin entre el equipo tcnico del Centro y el Director Ejecutivo. Su exis-
tencia permite que ambos tengan un punto de referencia para sus inquietudes facilitando el di-
logo entre las partes.
Como debilidad podemos mencionar dos: una asociada a utilizar el mencanismo de rotacin,
por lo complejo que puede resultar su implementacin, y otra asociada a no utilizar el meca-
nismo de rotacin. En los Centro de Respuesta es relativamente frecuente que sus integrantes
realicen diversas tareas y se roten en las mismas a lo largo del tiempo, este es un mecanismo
utilizado para intentar que todos tengan un panorama general de cmo funciona el Centro, sirve
para que no siempre los mismos realicen las tareas ms ingratas, como estrategia de motiva-
cin y para conseguir ms de una ptica sobre un mismo aspecto. La no realizacin de la rota-
cin en la funcin del Gerente Operacional nos priva de los beneficios mencionados. Por otro
lado, la eleccin del mismo es usual que surja del equipo tcnico que compone el Centro, por lo
que de ser as, debe ser una decisin fruto de un anlisis profundo. Haciendo una analoga en-
tre un Centro de Respuesta y una fbrica, el Gerente Operacional podra compararse con un
J efe de Produccin, quien sabe todo lo que sucede, quien tiene un panorama general de cmo
est funcionando el sistema, identifica y recibe los requerimientos de quienes trabajan all, se
vincula con la Alta Gerencia y traslada a los operarios las inquietudes de aquella y a aquella los
de estos.
El Gerente Operacional debe fomentar siempre la nocin de equipo dentro del Centro, aunque
cada uno de sus integrantes est realizando una actividad especfica. Para ello es importante
que el todos los integrantes conozcan qu temas estn llevando cada uno, siendo sufiiciente
para ello una reunin informal, de pocos minutos de duracin y la necesidad de documentos
formales donde cada uno de los integrantes comente sus tareas actuales. Es usual que de
stas reuniones surjan iniciativas de colaboracin de los integrantes entre para casos especfi-
cos y respuestas que se logran simplemente por comentar las inquietudes de cada uno.

Pgina 128

3.1.3.5 Difusin
Todo Centro de Respuesta debe identificar la persona que tendr a su cargo la responsabilidad
de toda la actividad de difusin del mismo. Entendemos por ello todas las formas de comunica-
cin posibles con diversos actores, como ser los integrantes de la Comunidad Objetivo, otros
Centros de Respuesta, prensa, entre otros.
sta funcin no implica que toda comunicacin con los actores mencionados debe ser validada
previamente por quien asuma dicha responsabilidad, pero s significa que dicha persona debe
trabajar para que se definan y documenten pautas claras a seguir en cada uno de los casos.
Los objetivos fundamentales de la funcin de difusin de un Centro de Respuesta son:
Hacer conocer la existencia del Centro
Difundir a la Comunidad Objetivo informacin que puede resultar de su inters
Fomentar la Capacitacin y Entrenamiento de los integrantes de la Comunidad Objetivo
A continuacin analizaremos cada uno de los objetivos mencionados
Al hacer conocer la existencia del Centro de Respuesta se busca la captacin de potenciales
nuevos integrantes de la Comunidad Objetivo as como tambin la identificacin de necesida-
des no satisfechas de ella y la definicin clara de los servicios brindados por el Centro y cmo
acceder a los mismos. Las formas de hacer conocer la existencia del Centro son variadas. Una
lista no exhaustiva es: organizacin de conferencias, seminarios y talleres de capacitacin y
entrenamiento, presencia en Internet en varias formas posibles (sitios web, RSS, listas de co-
rreo) donde se pueda tanto poner a dispisicin de todos informacin que puede resultar de in-
ters como tambin, mediante el cual se pueda recibir las inquietudes de las personas, por
ejemplo, completando un formulario o enviando un mensaje de correo electrnico a una direc-
cin destinada a ello.
La difusin de informacin que puede resultar de inters para la Comunidad Objetivo puede ser
una actividad tanto reactiva como proactiva. Puede ocurrir que la Comunidad Objetivo, o parte
ella, le haya hecho saber previamente al Centro sobre los aspectos que les sera de inters es-
tar informada (por ejemplo, vulnerabilidades de determinado producto) y el Centro de Respues-
ta implemente un procedimiento para cumplir con dichas expectativas (con costo o no para la
Comunidad Objetivo); puede darse el caso que la misma informacin u otra, sea difundida al
resto de los integrantes de la Comunidad Objetivo (con o sin costo para ella) si se cuenta con la
autorizacin correspondiente. Por otro lado, puede ocurrir que el Centro de Respuesta, por ini-
ciativa propia comience a difundir informacin que intuye o tiene la certeza que ser de inters
para la Comunidad Objetivo.
La actividad de Capacitacin y Entrenamiento es til, por un lado para generar un expertise en
la Comunidad Objetivo que le ser muy til a la hora de enfrentar un incidente de seguridad,
que los puede motivar a crear Centros similares y que le permitir a los integrantes del Centro
interactuar de mejor forma con los integrantes de la Comunidad Objetivo en el momento de
gestionar un incidente de seguridad; por otro lado, puede serle til al Centro como una forma
de autofinanciarse y de posicionarse frente a la Comunidad Objetivo como un punto de referen-
cia en la temtica. La actividad de Capacitacin y Entrenamiento no debe quedar circunscripta
solamente a aspectos puramente tcnicos, pudiendo ser muy enriquecedor para ambas partes

Pgina 129

realizar talleres donde la Comunidad Objetivo encuentre un mbito donde plantear sus inquie-
tudes al Centro de Respuesta, por ejemplo, relacionadas a la forma de vincularse.
A continuacin analizaremos las actividades de difusin en funcin de los actores menciona-
dos:
Comunicacin con la Comunidad Objetivo
La misma siempre ser realizada en un tono respetuoso, intentndose ponerse a la par de los
conocimientos tcnicos de la persona con la que se interacta, con un alto espritu de colabo-
racin y con la libertad de tutear o no segn se entienda oportuno. El Cdigo de tica es fun-
damental para establecer cmo vincularse.
En caso de estarse comunicando con varios integrantes de la Comunidad Objetivo, se debe
evaluar y decidir si es conveniente que unos deduzcan quienes son los otros que estn reci-
biendo la misma informacin. Salvo que se traten de personas que pertenezcan a la misma
unidad de trabajo (e incluso tampoco en ese caso) es necesario ofrecer anonimato. Por ejem-
plo, ocultando las direcciones de correo electrnico de los destinatarios de un mensaje de co-
rreo electrnico.
Comunicacin con otros Centros de Respuesta
Fomentar la misma es de suma utilidad para todas las partes involucradas. Basta pensar en
una realidad que cada vez nos golpea ms fuerte, como es que los incidentes de seguridad
traspasan fronteras de pases y de redes empresariales, por lo que muchas veces un punto de
contacto en el que confiamos puede resultar muy til a la hora de gestionar un incidente de se-
guridad. Por otro lado la pertenencia a grupos de Centros de Respuesta propicia que se genere
un mbito donde entre pares se pueda intercambiar conocimiento para los servicios que brinda
cada Centro. Conviene as analizar la posibilidad de ser miembros de foros como FIRST
[FIRST] y asistir a conferencias de Centros de Respuesta como ser FIRST-TC [FIRST-TC] para
fomentar y fortalecer estas redes de confianza entre Centros.
Comunicacin con la prensa
La esencia de la existencia de la misma puede resultar una cscara de banana para el Centro
de Respuesta. Es muy probable que la mejor noticia en materia de seguridad para la prensa
est vinculada al incidente ms delicado que se est gestionando en el Centro. Probablemente
el responsable de Difusin no sea quien entable contacto con la prensa y quizs lo sea el Di-
rector Ejecutivo, pero s es responsabilidad de aquel que la posicin frente a la prensa sea uni-
forme en todo el Centro, concientizando a todos sus integrantes de no ofrecer flancos dbiles
por donde se pueda filtrar informacin, incluso antes tcnicas elaboradas de Ingeniera Social.
El responsable de la Difusin deber fomentar que la misma brinde una imagen nica del Cen-
tro segn el grupo de destinatarios (Comunidad Objetivo, Centros de Respuesta, prensa).
3.1.3.6 Infraestructura
En cualquier Centro de Respuesta encontraremos infraestructura que sirve como sustento para
los servicios que se brindan. Habr tanto infraestructura de cada a la Comunidad Objetivo
como tambin de uso exclusivo interno, y en ambos casos nos refererimos a toda la tecnolog-
a de red, servidores, estaciones de trabajo, notebooks, equipamiento de laboratorio, de anli-

Pgina 130

sis forense, de anlisis de artefactos, de preservacin de evidencia, etc. La complejidad de la
infraestructura podr diferir mucho de un Centro a otro, pero ninguno podr obviarla y por lo
tanto, deber administrarla.
Dicha responsabilidad deber recaer en una persona con la debida capacitacin e idoneidad
para llevar la tarea adelante.
Considerando la dinmica con la que se cuente para la adquisicin del equipamiento necesario
deber preveer las necesidades a mediano y largo plazo de forma de trasladarlas en tiempo y
forma al Director Ejecutivo, va el Director Operacional en caso de existir.
Una de sus tareas ser identificar la disponibilidad requerida en cada sistema y por lo tanto, las
alternativas para lograrla.

3.1.3.7 Triage
El servicio que determina la propia razn de la existencia de un Centro de Respuesta es la ges-
tin de incidentes de seguridad. Dicha gestin involucra en sus etapas ms tempranas la reali-
zacin de la funcin de Triage. El concepto de triage no es exclusivo de la gestin de inciden-
tes, aplicndose a otras reas, como ser la medicina. Para comprender cabalmente qu implica
y las posibles consecuencias de realizarlo correctamente o no puede resultar un buen ejercicio
comentar su utilizacin en el rea mencionada.

En la medicina de emergencias y desastres se efecta triage para la seleccin y clasificacin
de los pacientes basndose en las prioridades de atencin privilegiando la posibilidad de su-
pervivencia, de acuerdo a las necesidades teraputicas y los recursos disponibles. Este trmino
se emplea para la seleccin de pacientes en distintas situaciones y mbitos. En situacin nor-
mal en las urgencias extra-hospitalarias y hospitalarias. As como en situaciones de demanda
masiva, atencin de mltiples vctimas o de desastre. En situacin normal se privilegia la aten-
cin del paciente ms grave, el de mayor prioridad, por ejemplo: paro cardaco. En situaciones
de demanda masiva, atencin de mltiples vctimas o desastre se privilegia a la vctima con
mayores posibilidades de supervivencia segn gravedad y la disponibilidad de recursos. Enten-
demos entonces por triage de urgencias el proceso de valoracin clnica preliminar que ordena
los pacientes antes de la valoracin diagnstica y teraputica completa en base a su grado de
urgencia, de forma que en una situacin de saturacin del servicio o de disminucin de recur-
sos, los pacientes ms urgentes son tratados los primeros, y el resto son controlados conti-
nuamente y reevaluados hasta que los pueda visitar el equipo mdico.

El trmino triage (o triaje, aunque ste casi no se utiliza) no existe en la lengua espaola o por-
tuguesa, y se lo podra asimilar al trmino clasificacin. Se entiende que dicha traduccin no
es adecuada y por lo tanto se utilizar triage de aqu en adelante.

En el contexto de incidentes de seguridad, el triage implica la recepcin por diversas vas de
reportes de eventos o incidentes de seguridad y su clasificacin mediante algn criterio. La cla-
sificacin que se le d a lo reportado determinar la gestin a realizar, lo que no implica que no
se pueda volver a clasificar si as se determina luego de analizarlo o en pleno proceso de ges-
tin.

Pgina 131

La persona encargada del triage podr tener como tarea la asignacin del integrante del Centro
que deber llevar adelante la gestin del incidente. Dicha decisin podr ser tomada en conjun-
to con el Gerente Operacional e incluso contando con la opinin del Director Ejectutivo.
La persona idnea para esta actividad debe reunir algunas cualidades, como ser:
Capacidad de correlacionar eventos e incidentes de seguridad
Mantener la calma en momentos complicados
Saber distinguir entre lo urgente y lo importante.
Diferentes aspectos deben considerarse en el momento de asignar un incidente a un integrante
de Centro, un ejemplo de lista de dichos aspectos es:
Expertise del potencial candidato
Carga laboral actual del candidato
Carga laboral futura del candidato
Expectativa de duracin de la gestin del incidente a gestionar
Estado de nimo del candidato
Vinculacin del candidato con quien reporta y otros posibles integrantes de la Comuni-
dad Objetivo que podran estar vinculados al incidente
3.1.3.8 Documentacin
Todo Centro de Respuesta cuenta con una importante cantidad de Documentacin y en dife-
rentes medios y formatos, la que requiere de una gestin adecuada. Dicha gestin incluye la
existencia de polticas y procedimientos que especifiquen cmo y cundo:
Generarla
Clasificarla
Almacenarla
Respaldarla
Destruirla
Difundirla
Podemos identificar dos grandes tipos de informacin: informacin relevante para el funciona-
miento mismo del Centro de Respuesta e informacin vinculada a los propios servicios que se
brindan. En el primero estn comprendidas todas las polticas y procedimientos del Centro. En
el segundo encontramos toda la documentacin generada durante la prestacin de cada servi-
cio; por ejemplo puede ser, toda la documentacin que se genera como resultado de la gestin
de un incidente de seguridad o toda la documentacin generada como resultado de una audi-
tora de seguridad o toda la documentacin generada para un plan de capacitacin y/o entre-
namiento.

Pgina 132

La gestin de la documentacin deber contemplar la revisin peridica de ella, como instancia
en la cual se puede modificar en base a la experiencia de haberla aplicado durante cierto tiem-
po. Ello puede resultar en la modificacin de algunas de las polticas y procedimientos involu-
crados o la documentacin de que luego de realizada la revisin, no se identificaron cambios
necesarios.
3.1.3.9 Capacitacin y Entrenamiento
La actividad de capacitacin y entrenamiento es til, por un lado para generar un expertise en
la Comunidad Objetivo que le ser muy til a la hora de enfrentar un incidente de seguridad,
que los puede motivar a crear Centros similares y que le permitir a los integrantes del Centro
interactuar de mejor forma con los integrantes de la Comunidad en el momento de gestionar un
incidente de seguridad; por otro lado, puede serle til al Centro como una forma de autofinan-
ciarse y de posicionarse frente a la Comunidad Objetivo como un punto de referencia en la
temtica. La actividad de capacitacin y entrenamiento no debe quedar circusncripta solamente
a aspectos puramente tcnicos, pudiendo ser muy enriquecedor para ambas partes realizar
talleres donde la Comunidad Objetivo encuentre un mbito donde plantear sus inquietudes al
El responsable de dicha actividad tiene a su cargo la tarea de identificar temticas que resultar-
an de inters para la Comunidad Objetivo. Para ello puede recurrir a diferentes fuentes de in-
formacin como ser sitios en Internet especficos de seguridad, informacin de otros Centros de
Respuesta, asistencia a seminarios, conferencias, capacitacin y entrenamiento entre otros.
Adicionalmente debe estar predispuesto para analizar propuestas que provengan o no de la
Comunidad Objetivo y por cualquier va respecto a una demanda insatisfecha, oculta o no, res-
pecto a capacitacin y/o entrenamiento.
3.1.3.10 Logstica
En cualquier Centro de Respuesta, as como en cualquier empresa de cualquier tamao, deben
existir un conjunto de bienes fungibles y no fungibles a disposicin de sus integrantes. Por ello,
debe existir una persona responsable de asegurar la existencia de los mismos en las cantida-
des adecuadas para el correcto trabajo diario. Esta funcin puede recaer en un integrante del
Centro sin formacin tcnica.
3.1.3.11 Investigacin
Una funcin relevante para un Centro de Respuesta es la investigacin. Las ventajas que ofre-
ce dedicar parte del tiempo a esta funcin son variadas. Se pueden mencionar entre ellas: que
es una herramienta que puede acercar al equipo informacin y conocimiento que puede ser de
utilidad para el Centro y para la Comunidad Objetivo, le permite vincularse con Centros pares,
mejora la reputacin del Centro y sus integrantes y fomenta actividades similares en otros Cen-
tros y en la Comunidad Objetivo.
El realizar actividades de investigacin y el compartir en diversos mbitos sus avances, pro-
blemas y resultados es til tambin para generar vnculos de confianza con quien se comparte.
Las vas disponibles para compartir informacin vinculada a tareas de investigacin (siempre y
cuando no se est limitado por la confidencialidad) son varias, desde informes publicados en

Pgina 133

Internet hasta la realizacin de reuniones, talleres o seminarios donde se puedan intercambiar
ideas.
Los resultados de determinada investigacin pueden ser la semilla para un nuevo servicio a ser
brindado por el Centro o para la mejora de una ya existente. Cualquiera de los dos frutos son
altamente valorados por la Comunidad Objetivo y ayudan a mejorar la imagen del Centro.
Como dijimos antes, las tareas de investigacin se pueden llevar a cabo: exclusivamente en el
Centro, en el Centro y en colaboracin con otros Centros, en el Centro y con la participacin de
algunos integrantes de la Comunidad Objetivo o en el Centro y con la participacin de personal
de la organizacin que le sirve de hosting.
Las actividades de investigacin, ms all de cmo se lleven a cabo, fortalecen los lazos entre
las partes involucradas y afianza la confianza entre ellos. Esta actividad puede tener un costo
directo o no para las organizaciones a las que pertenecen los integrantes de la Comunidad Ob-
jetivo que participan de la misma.
3.1.3.12 Legal
Todo Centro de Respuesta debe contar con un asesor legal. La persona que cumpla dicha fun-
cin puede ser o no integrante del Centro de Respuesta. En caso de no serlo, puede pertene-
cer a la organizacin que brinda el hosting al Centro o puede ser contratado por el Centro ante
la necesidad de sus servicios.
Su presencia es fundamental en varias actividades del Centro. Por ejemplo, para la recoleccin
y preservacin de evidencia que puede llegar a ser utilizada ms adelante en una instancia ju-
dicial o para asesorar a los integrantes del Centro en cmo deben ser redactados los informes
asociados a un incidente de seguridad, informes en ciertas ocasiones solicitados por parte de
un juez y hasta incluso como asesor legal en el momento de declarar en un juzgado.
Es recomendable que los integrantes del Centro de Respuesta realicen reuniones con su ase-
sor legal de manera de estar al da con la legislacin vigente en el pas donde se encuentra
brindando servicios el Centro. Los integrantes del Centro de Respuesta en general poseen muy
poca o nula formacin en aspectos jurdicos y por la propia esencia de los servicios que brindan
deben conocer las leyes, decretos y ordenanzas vinculadas a su tarea.
3.1.3.13 Gestin de Incidentes
La gestin de incidentes es el servicio fundamental de todo Centro de Respuesta, y la razn de
su existencia. La funcin debe ser llevada adelante por todos los integrantes tcnicos del Cen-
tro y apoyada tambin por los restantes integrantes.
Su funcin implica la gestin de incidentes de seguridad, pudiendo tener a su cargo tambin la
funcin de triage, incluso al mismo tiempo.
La gestin de incidentes implica estar en contacto con quien lo report y quizs con otros inte-
grantes de la Comunidad Objetivo as como con otros Centros de Respuesta e incluso repre-
sentantes legales. Por vas formales o informales deber informar al Gerente Operacional del
estado de cada incidente que se encuentra gestionando y de la vida misma de l.

Pgina 134

Ms all de la existencia de cursos de capacitacin y entrenamiento en gestin de incidentes
de seguridad, mucho se aprende gestionando incidentes de seguridad. Cuando un integrante
del Centro comenzar a gestionar incidentes es conveniente que otro integrante ya avezado en
dicha tarea asuma un rol de mentor o tutor, que lo pueda ir guiando, asesorando, formando y
forjando la confianza de aquel en su nueva funcin.
3.1.3.14 Embajadores
En algunos Centros de Respuesta y dependiendo del modelo organizacional del mismo, puede
ocurrir que personal de la organizacin que brinda el hosting al Centro trabaje en ciertos temas
puntuales, como un integrante ms del grupo.
Un caso en donde puede ocurrir ello es por ejemplo cuando se est gestionando un incidente
de seguridad, que involucra a un activo de la organizacin perteneciente a una unidad distinta
al Centro de Respuesta. Puede ocurrir entonces que se requiera la participacin de algn ad-
ministrador o dueo de dicho activo, por su conocimiento profundo del mismo. De ser as,
puede ser til para ambas partes que dicha persona, y mientras se realice la gestin del inci-
dente, sea considerada un integrante temporal del Centro. Ello permitir a dicha persona
(y a la unidad que integra) conocer ms de cerca la realidad del Centro y viceversa. Por otro
lado puede ser til tambin para identificar potenciales futuros integrantes del equipo.
Su participacin en el Centro requerir que previamente firme un NDA (Non-Disclosure Agree-
ment) o Compromiso de Confidencialidad.
3.1.3.15 Formacin Continua
No es posible concebir un Centro de Respuesta en el que sus integrantes no realicen activida-
des de capacitacin y entrenamiento de manera frecuente. Resulta fundamental que continua-
mente se estn actualizando en las TICs as como en la evolucin de los distintos vectores de
ataque (conocidos y nuevos). Por ello es importante que los integrantes del Centro destinen
parte de su tiempo de trabajo a estudiar, leer, ser curiosos en cuanto a como funciona determi-
nado malware o un protocolo, una herramienta (sniffer de paquetes, forense, etc.) qu servi-
cios brinda un nuevo equipamiento o aplicacin lanzada al mercado o cual es la realidad de las
redes sociales, el spam, las botnets, los honeypots, entre otros ejemplos.
Pero tan importante como lo expresado en el prrafo anterior es que dicho conocimiento no
quede cerrado en una sola persona. Resulta muy beneficioso para el Centro de Respuesta que
mediante reuniones internas poco formales pero s respetando cierta periodicidad se comenten
acerca de lo estudiado o ledo. Muy probablemente ello servir para evacuar dudas, recibir pre-
guntas que nunca se haba plateado quien ha estudiado cierto tema, lo que puede ayudar a
orientar y profundizar el estudio e incluso, para identificar nuevas lneas de investigacin que se
podran explotar.
Por otro lado, la Comunidad Objetivo demanda, a veces explcitamente, que los integrantes del
Centro de Respuesta (desde el Director Ejecutivo hasta quienes realizan gestin de incidentes,
pasando por el gerente Operacional) estn aggiornatos en cuanto a su formacin, lo que puede
implicar la necesidad de que obtengan determinadas certificaciones con reconocimiento inter-
nacional, como por ejemplo las otorgadas por [ISC2], [ISACA] y [PMI].

Pgina 135

3.1.3.16 Financiero y Econmico
De alguna forma el Centro de Respuesta deber disponer de los fondos para seguir existiendo.
Se debe pagar salarios, leyes sociales, comprar hardware, software y libros, pagar el local don-
de opera y su equipamiento, la conectividad a Internet, asistencia a conferencias, viticos entre
otras cosas.
Podemos identificar dos grande modelos posibles de cmo un Centro de Respuesta puede ob-
tener los rubros presupuestales necesarios.
El primero es que la organizacin que le brinda el hosting se encargue de destinar todos los
fondos necesarios y el Centro de Respuesta retorne a travs de los servicios que brinda,
quizs de manera indirecta, sin la venta especfica de ninguno de ellos. En la antpoda de ste
modelo se encuentra aquel en el que el Centro se autofinancia completamente, a travs de la
venta de diferentes servicios: capacitacin, entrenamiento, auditoras, ethical hackling, consul-
toras entre otros.
Entre ambos modelos podemos encontrar diversas variantes posibles, segn el contexto en el
que se desempea el Centro de Respuesta.
Ambos modelos mencionados requieren que alguien desempee la funcin de llevar adelante
la gestin financiera y econmica del Centro. Un anlisis superficial podra determinar que en el
primero de los modelos no es requerido este rol, pero debemos comprender que dicha gestin
puede ser un insumo fundamental para, llegado el momento, justificar la existencia del Centro,
ms an si consideramos que el retorno de la inversin (no gasto) que realiza la organizacin
es difcil de medir. En el segundo modelo, sin duda que dicha gestin debe estar presente y
quien la lleve adelante debe tener un contacto muy fluido con el Director Ejecutivo en particular
y con el resto de los integrantes del Centro en general para buscar acompasar la gestin de
incidentes y el resto de los servicios que se brindan y que podran brindar con el objetivo de no
tener nmeros rojos.
3.1.3.17 Consideraciones finales

Es muy habitual en los Centros de Respuesta, desde los recin creados hasta los que ya han
alcanzado un grado de madurez importante, que cada persona no tenga una nica funcin
asignada, savo alguna funcin especfica, como puede ser la vinculada a las actividades lega-
les. Lo que a primera vista puede ser un sntoma de poco control, de falta de definiciones, en
general se lo identifica con otra situacin, que es aquella en la cual los diferentes integrantes
pueden tener un panorama bastante completo de toda la maquinaria del Centro de Respuesta
y por lo tanto, ver la realidad desde diferentes pticas. El Centro de Respuesta es un mostrador
y las funciones sus lados (sin duda un mostrador muy particular). Ms de una vez hemos es-
chuchado (hasta de nuestra propia boca) sera bueno que te pusieras de mi lado del mostra-
dor, y justamente ese es un modelo habitualmente encontrado en los Centros de Respuesta
(casi sin excepciones en los Centros de Respuesta que recin nacen). Ello no debe confundirse
con todos hacemos de todo y al final nadie es responsable de nada que termina traducindo-
se en nadie hace nada porque todos piensa que lo hace el otro, situacin peligrosa y que
puede llegar incluso a poner en riesgo la existencia misma del Centro. Es aqu donde resulta
fundamental la capacidad organizativa del Centro y las especificacin clara, por escrito y expli-

Pgina 136

citamente reconocida por todos los integrantes de quienes son los responsables de cada fun-
cin, y eventualmente sus alternos ante la ausencia por alguna razn de aquellos.

3.1.4 Manuales y Procedimientos
En esta seccin de la propuesta nos enfocaremos a prcticas recomendadas para el desarrollo
de Manuales y Procedimientos en un Centro de Respuesta a Incidentes de Seguridad Inform-
tica.
Las prcticas no deben ser consideradas como un estndar a seguir pero s reflejan los crite-
rios que han venido siguiendo los integrantes de la Comunidad.

3.1.4.1 Moti vacin
En todo Centro de Respuesta la elaboracin de Manuales y Procedimientos es una tarea fun-
damental tanto para su operacin como para posicionarse adecuadamente frente a la Comuni-
dad Objetivo.
Sabido es que la existencia de una Poltica de Seguridad es fundamental y fundacional en todo
lo que respecta a la gestin de la seguridad de la informacin e informtica en toda organiza-
cin, ms an en aquella que sea o que contenga un Centro de Respuesta.
La creacin de un Centro de Respuesta as como su reconocimiento en la comunidad de otros
Centros de Respuesta requiere la elaboracin de diferentes tipos de polticas. Las polticas
brindan pautas primarias del qu, pero, salvo alguna situacin especial y puntual, no abordan
el cmo, y es aqu donde se comienza a identificar el rol fundamental de los procedimientos.
Podramos decir que los procedimientos son implantaciones especficas de una poltica en una
realidad concreta.
3.1.4.2 Manuales
Los manuales (o tutoriales), que podemos definir como un documento donde se compendia lo
sustancial sobre determinada materia, tambin debera ser un producto frecuente de elabora-
cin/revisin por parte de los integrantes del Centro de Respuesta.
Podemos identificar motivos proactivos y reactivos para la elaboracin/revisin de manuales.
Entre los proactivos podemos mencionar la propia iniciativa de alguno o todos los integrantes
del Centro de Respuesta de, cada cierto tiempo (por ejemplo tres meses) el Centro elabore un
manual para poner a disposicin de la Comunidad Objetivo y/o de toda la comunidad y/o de
otros Centros de Respuesta.
Entre los reactivos, podemos mencionar la identificacin de la necesidad, luego de haber ges-
tionado un incidente de seguridad que vincul a una materia, sobre la que se entiende que el
integrante de la Comunidad Objetivo (y/o toda la Comunidad Objetivo y/o toda la comunidad y/u
otros Centros de Respuesta) debera contar con un manual que arroje luz al respecto.
La elaboracin peridica de manuales (proactivos o reactivos) sirve para posicionar al Centro
de Respuesta como un punto de referencia en la comunidad en cuanto a seguridad.

Pgina 137

En general los manuales elaborados son considerados un aporte a la comunidad, por lo que
para su uso por parte de terceros slo se solicita que se mencione la fuente y los autores.
3.1.4.3 Procedimientos
En todo Centro de Respuesta se debern elaborar varios procedimientos que expliciten clara-
mente cmo ejecutar las acciones relevantes sobre determinada tarea de forma que se realice
eficaz y eficientemente.
La tarea de elaborar procedimientos (as como la tarea de elaborar polticas) no se acota a un
momento de la vida del Centro de Respuesta. De una u otra manera y con picos y valles en
cuanto a carga laboral aplicada a ella varios integrantes del Centro estarn envueltos en crear
nuevos procedimientos y analizar los ya existentes a los efectos de determinar si siguen siendo
adecuados o requieren una actualizacin. La actualizacin de los procedimientos puede tener
diferentes motivos, incluso combinados: nuevos requerimientos de la Comunidad Objetivo,
nuevos desafos del Centro de Respuesta, cambios tecnolgicos, omisiones u errores en la
versin actual, entre otros.
La necesidad de elaborar nuevos procedimientos tambin puede tener varios motivos, tambin
incluso combinados: formalizar una actividad que se viene realizando siguiendo un procedi-
miento no escrito, una nueva poltica que fomenta la realizacin de uno o ms procedimientos,
entre otros.
La actividad cotidiana de los integrantes del Centro de Respuesta as como la interaccin con
miembros de la Comunidad Objetivo o de otros Centros de Respuesta sern disparadores de la
creacin o actualizacin de procedimientos.
3.1.4.4 Criterios de elaboracin de Manuales
Los manuales no deben ser necesariamente extremadamente largos. En general ello reduce su
aprovechamiento, salvo excepciones.
Deben estar redactados en un lenguage adecuado para el pblico objetivo. Pueden tener un
contenido tcnico muy alto o no, segn para qu pblico estn pensados. Incluso en algunos
casos puede ser oportuno generar diversos sabores de un mismo manual para llegar a dife-
rentes sectores del pblico objetivo.
Desde el momento que se plantea la elaboracin de un manual se debe identificar claramente
el objetivo del mismo, el pblico objetivo, la extensin esperada del mismo (a veces tambin
condicionada por el pblico objetivo), el plazo necesario para la elaboracin, cundo y cmo
debera liberarse.
Es muy recomendable que los manuales respeten un template predefinido, pudiendo existir
ms de un template si existen varios pblicos objetivos.
Resulta muy recomendable tambin que exista un procedimiento de elaboracin de manuales,
que comprenda, la forma (template/s), el o los estilos de redaccin y las diferentes instancias
de elaboracin y aprobacin a recorrer previo a su liberacin.
El contemplar los estilos de redaccin permite que, an cuando los autores de los manuales
sean distintos, ellos mantengan un estilo nico, propio del Centro de Respuesta.

Pgina 138

En las diferentes instancias de la elaboracin de un manual pueden participar el Director Ope-
racional, integrantes destinados a gestin de incidentes, el Responsable de Documentacin, el
Responsable de Capacitacin y Entrenamiento, el Responsable de Difusin y el Responsable
de Difusin, segn establezca el Procedimiento de Generacin de Manuales a elaborar.
Incluso los manuales y tutoriales elaborados podrn vincularse con actividades de capacitacin
y entrenamiento del Centro de Respuesta.
Es totalmente vlido que la elaboracin de un manual implique el uso de informacin disponible
en algn medio, como ser libros, artculos, sitios de Internet. En todos los casos su uso deber
ser respetando las condiciones de uso explicitadas en ellos.
3.1.4.5 Criterios de elaboracin de Procedimientos
La elaboracin de procedimientos debera requerir la existencia de una poltica al respecto.
Toda aquella actividad que se realiza siguiendo determinada secuencia de acciones, utilizando
determinadas herramientas (hardware o software) y alineada a una poltica implcita o explcita
debera plasmarse en un procediemiento.
La tarea de elaborar un procedimiento, por s misma, permitir analizar con espritu crtico que
tan completo y adecuado era el procedimiento ad-hoc que se segua hasta el momento, lo que
sin duda permitir documentar un procedimiento notoriamente mejor.
Para elaborar un procedimiento, en primer lugar se debe tener claramente identificada la nece-
sidad del mismo. Luego se debe conocer si al respecto ya se sigue un procedimiento no escrito
y de ser as, conocerlo en detalle. Luego se podr comenzar, con una metodologa top-down, a
identificar las diferentes actividades y resultados que lo compondrn. La metodologa permite,
yendo de lo general a lo particular, identificar primero los aspectos medulares y luego, se podr
ir desglosando y detallando cada uno de ellos.
Para actualizar un procedimiento, los integrantes del Centro de Respuesta vinculados con lo
que se procedimenta en l y quien detect la posible necesidad de su actualizacin deben re-
unirse junto con una copia actual del mismo a los efectos de interactuar al respecto de la nece-
sidad o no de su modificacin. Si no se logra concenso, decidir la opinin del Director Opera-
cional y si persiste, la opinin del Director Ejecutivo.
Es necesario llevar un registro de versionado de toda la documentacin en uso en el Centro de
Respuesta, y en el caso que nos compete aqu, tambin de los procedimientos.
Un procedimiento terminado es correcto s al ser ledo por primera vez por una persona idnea
en la materia a la cual refiere no tiene inconvenientes para comprenderlo y ponerlo en prctica.
El lenguaje utilizado en el mismo debe ser el adecuado para que se comprenda sin ambigda-
des lo que se expresa. No deben existir huecos en un procedimiento, es decir, falta de pasos o
incertidumbres en las acciones a tomar o a los resultados a obtener y cmo proseguir.
3.1.4.6 Difusin de Manuales
Respecto a los manuales, podemos encontrar dos grandes familias cuando hablamos de la di-
fusin de los mismos. Por un lado aquellos que son de uso interno del Centro de Respuesta,
por ejemplo por tratarse de una investigacin cuyo tema y/o informacin asociada no es clasifi-

Pgina 139

cada como pblica y por otro, aquellos que s pueden ser difundidos fuera del Centro de Res-
puesta, quizs con diferentes sabores segn a quienes se les permite acceder y en qu condi-
ciones.
El pasaje de un manual de uso interno (proceso de desclasificacin) debera requerir un pro-
cedimiento asociado.
3.1.4.7 Difusin de Procedimientos
En general, los procedimientos elaborados en un Centro de Respuesta son de uso interno y no
existe necesidad e incluso autorizacin para que salgan de ese mbito. Un ejemplo tpico de
procedimiento que debera ser pblico es aquel asociado a cmo contactar al Centro de Res-
puesta para, por ejemplo, reportar un evento o incidente de seguridad.
Debe estar claramente especificado dnde se encuentran disponibles y cuales son todos los
existentes.

Pgina 140

3.1.5 Diseo de un Flujograma del Proceso de Gestin de Incidentes, end to end
3.1.5.1 El Ciclo de Vida de un Incidente de Seguridad

Pgina 141

3.1.5.2 Evento o Incidente de Seguridad de la Comunidad Objeti vo?

Reporte
Varias fuentes posibles:
correo electrnico
IDS, IPS, IDPS
fax
formulario web
nota
Firewall
llamada telefnica
chat
hablado
prensa
RSS
logs
Web
Origen verificado?
Solicitar
informacin
para verificar
origen
NO
Evento o
incidente?
SI
NO
Se le
informa a
quien lo
report
Se registra la
accin
Informacin
proporcionada
Por medio
adecuado?
SI
Se solicita el
envio de la
informacin
por medio
adecuado
NO
Se obtiene en un
plazo razonable?
NO
SI
Se obtiene en un
plazo razonable?
NO
SI
Incidente?
NO
SI
SI
Incidente
a
gestionar
Determinacin
El objetivo es determinar
de una manera y con un
esfuerzo razonable, que
alguien ha reportado un
evento o incidente de
seguridad. Puede tratarse de
una denuncia annima
Es importante que ms all
que el reporte llegue por un
medio informal, se de la
pueda validar
Si es un evento, se
registrar, principalmente
con fines estadsticos y se
le informar a quien lo
report de la decisin
tomada
Si es un incidente de
seguridad, se lo gestionar y
se le informar de ello a
quin lo report
Se le
informa a
quien lo
report
Si no es un evento ni un
incidente, se registrar,
principalmente con fines
estadsticos y se le informar
a quien lo report de la
decisin tomada
Se entiende por plazo
razonable, una semana
Se entiende por plazo
razonable, una semana
Comunidad
Objetivo?
SI
NO

Pgina 142

3.1.5.3 Gestin de Incidente de Seguridad

Pgina 143

CAPITULO 3.2

Propuesta de Polticas y
Procedimientos Principales
para la Operacin de un
Centro de Respuesta

Pgina 144


NOMBRE DOCUMENTO: Propuesta de Polticas y Procedimientos Principales
para la Operacin de un Centro de Respuesta.






Resumen.
En el presente captulo se documenta una propuesta de Polticas y Procedimientos
principales para la operacin de un Centro de Respuesta a Incidentes de Seguridad In-
formtica.

Se presentan aqu cuatro propuestas: de Cdigo de tica, de Poltica de Seguridad
Lgica, de Poltica de Seguridad Fsica y Ambiental y de Poltica de Gestin de Inciden-
tes.

Es importante aclarar que las cuatro propuestas no significan la totalidad de las polti-
cas y procedimientos que deben definirse en un Centro de Respuesta, pero son una
base importante para comprender el espritu con el que se deberan redactar y as po-
der desarrollar las dems que se requieran en el Centro.

Pgina 145

3.2.1 Propuesta de Cdigo de tica

Esta seccin documenta una propuesta de Cdigo de tica (CoE, Code of Ethics) para un Cen-
tro de Respuesta a Incidentes de Seguridad Informtica. No se pretende aqu establecer un
estndar a seguir pero s establecer aspectos fundacionales que se entiende necesarios consi-
derar al momento de explicitar la importancia de la tica en la operacin de todo Centro de
Respuesta y unificar conductas.

3.2.1.1 Definiciones

A partir del significado de varias palabras, segn la Real Academia Espaola (RAE), iremos
construyendo un concepto claro del significado de tica. La RAE brinda los siguientes significa-
dos:

La tica es el conjunto de normas morales que rigen la conducta de la persona en cualquier
mbito de la vida.

Una norma es una regla que se debe seguir o a que se deben ajustar las conductas, tareas,
actividades, etc.

La moral es una doctrina del obrar humano que pretende regular de manera normativa el valor
de las reglas de conducta y los deberes que estas implican.

Un valor es el grado de utilidad o aptitud de las cosas, para satisfacer las necesidades o pro-
porcionar bienestar o deleite.

El filsofo espaol Fernando Savater define a la tica como una disciplina donde se presenta
la conviccin de que no todo vale por igual, de que hay razones para preferir un tipo de actua-
cin a otro.

3.2.1.2 tica, personas y ley

Debemos comprender el carcter personal de la tica y los matices que pueden existir frente a
determinada circunstancia y las posiciones dismiles de dos personas frente a cmo interpreta
cada uno los valores ticos.

Por lo tanto, en todo grupo de personas podrn existir matices de consideracin de los cdigos
de tica. Resulta fundamental entonces que se realice un esfuerzo por unificar las posturas de
cada uno de los integrantes del Centro de Respuesta en cuanto a las normas morales que re-
girn su conducta al desempearse profesionalmente con el objetivo de lograr desactivar los
comportamientos subjetivos y alentando el respeto de una visin nica de la tica.

Por otro lado, debemos comprender que el respeto a la ley no significa que nuestro comporta-
miento sea tico. Pueden darse comportamientos poco ticos que sin embargo respetan la ley.

Pgina 146

3.2.1.3 Objeti vos de un Cdigo de tica

Un Cdigo de tica en un Centro de Respuesta persigue entonces algunos objetivos funda-
mentales:

Fomentar la tica en sus integrantes
Incentivar el comportamiento tico uniforme
Alentar a un comportamiento similar de parte de sus pares y de los integrantes de la
Comunidad Objetivo
Fortalecer la imagen del Centro de Respuesta y de cada uno de sus integrantes

3.2.1.4 Lineamientos generales para la elaboracin de un Cdigo de tica
Podemos mencionar algunos criterios generales a tener en cuenta al momento de elaborar un
Cdigo de tica.

Lenguaje: debe ser claro y conciso, sin trminos extremadamente complejos.
Moral: utilizar como base valores aceptados por la sociedad en la que est inserto el
Centro de Respuesta. Esos valores servirn para guiar el comportamiento de las perso-
nas.
Aceptacin: de nada servir un Cdigo de tica que no sea aceptado por los integrantes
del Centro de Respuesta. Resulta muy aconsejable entonces que todos se vean involu-
crados en la elaboracin del mismo y se busque alcanzar un consenso. Luego de elabo-
rado, una de las condiciones para incorporar a un nuevo integrante al Centro es que
acepte explcitamente el Cdigo de tica vlido.

3.2.1.5 Valores morales
Valor moral es todo aquello que lleve al hombre (y a la mujer) a defender y crecer en su digni-
dad de persona. El valor moral conduce al bien moral. Se le considera como un bien pues nos
mejora, perfecciona, completa.
Los valores morales guan la conducta de los seres humanos y son promovidos por la familia,
el trabajo, las creencias, las instituciones educativas, y los medios de comunicacin, entre
otros.
Se presenta a continuacin una lista de valores morales que deberan ser considerados al mo-
mento de elaborar un Cdigo de tica:
Respeto
Honestidad
Solidaridad
Responsabilidad
Crtica constructiva
Gratitud

Pgina 147

Optimismo
Superacin
Voluntad
Innovacin
Paciencia
Amabilidad
Empata
Sencillez
Profesionalismo
Alegra
Qu valores incluir en el Cdigo de tica a elaborar puede resultar de la realizacin de una en-
cuesta entre los integrantes del Centro de Respuesta e incluso personas de confianza y refe-
rentes. Puede ser til utilizar en la escala un nmero de niveles par, con el objetivo de evitar la
neutralidad. Las opciones extremas de la escala pueden ser totalmente de acuerdo y total-
mente en desacuerdo y con no ms de cinco niveles.
3.2.1.6 Texto de la Propuesta de Cdigo de tica

3.2.1.6.1 Objetivo
Formalizar el Cdigo de tica al que se deben ceir todos los integrantes, sin excepciones, del
3.2.1.6.2 Al cance
El Cdigo de tica est dirigido a todos los integrantes del Centro de Respuesta.
3.2.1.6.3 Definiciones
tica: Conjunto de normas morales que rigen la conducta de la persona en cualquier mbito de
la vida.
Cdigo de tica: Mecanismos utilizado por las organizaciones para explicitar el comportamien-
to que esperan de sus integrantes
3.2.1.6.4 Contenido
Todo integrante del Centro de Respuesta debe aceptar de manera explcita el presente Cdigo
de tica entregando una copia impresa firmada del mismo al Director Ejecutivo Centro la que
ser almacenada de acuerdo a lo establecido por la Poltica de Almacenamiento de Informacin
validada por el responsable de la Documentacin del Centro.

Pgina 148

A partir del momento de elaborado el presente, ningn integrante actual o futuro del Centro
podr llevar adelante funciones en el mismo si previamente no cumpli con lo establecido en el
prrafo anterior.
La existencia del Cdigo de tica debe estar siempre a disposicin de quien lo solicite y se de-
be hacer amplia difusin a su existencia.
Los integrantes del Centro de Respuesta debern siempre:

Dirigirse con respeto a todas las personas. El respeto es una forma de reconocimiento,
de aprecio y de valoracin de las cualidades de los dems, ya sea por su conocimiento,
experiencia o valor como personas.

Actuar con honestidad, entendiendo por ello la existencia de congruencia entre lo que
se piensa y cmo se acta con las dems personas.

Ser solidario, tanto con el resto de los integrantes del Centro como con las personas
que se interacta.

Mantener una actitud responsable, cumpliendo con los deberes que competen a la tarea
que se desempea.

Realizar crticas constructivas, que sirvan para lograr un beneficio tanto para el Centro
como para la Comunidad Objetivo.

Expresar siempre que corresponda nuestra gratitud con la accin del otro. No debe to-
marse el agradecimiento como un sntoma de debilidad.

Comportarse cada da con entusiasmo y siendo emprendedor, para dotar de optimismo
a la tarea que se debe llevar adelante.
Buscar cada da la superacin en la actividad que se desempee, ello redundar en be-
neficio personal y para el Centro.
Expresar siempre voluntad para colaborar, con el equipo que compone el Centro y con
la Comunidad Objetivo, servir para fortalecer la imagen frente a sta.
Procurar ser innovador, desde identificar nuevas alternativas de servicios a ofrecer a la
Comunidad Objetivo hasta variantes en las actividades que fortalezcan la vinculacin
entre los integrantes del Centro.
Tener paciencia, tanto con los colegas del Centro como con los de la Comunidad Obje-
tivo. Tener en cuenta siempre que nuestros tiempos no tienen que coincidir con los
tiempos de los dems.
Tratar a los dems con el respeto y la comprensin que demandamos de ellos, fomen-
tando as la empata.
Ser sencillos. No alardear de por ejemplo conocer de cierto tema en particular ms que
nuestro interlocutor. Maana podemos estar del otro lado del mostrador.

Pgina 149

Desempear las tareas encomendadas con profesionalismo, tanto para la imagen per-
sonal como del Centro.
Intentar cada da trabajar con alegra, lo que sin duda genera un ambiente laboral mu-
cho ms confortable para todos.

Ser prudentes en los comentarios, conceptos y decisiones a tomar, tanto en la interna
del Centro como hacia la Comunidad Objetivo.

3.2.1.6.5 Cumplimiento
El tomar conocimiento del no cumplimiento del Cdigo de tica por parte de algunos de los in-
tegrantes del Centro debe ser comunicado al Director Ejecutivo del Centro para que ste eval-
e, quizs en conjunto con el Comit Ejecutivo las posibles acciones a tomar.

3.2.2 Propuesta de Poltica de Seguridad Lgica

Esta seccin documenta una propuesta de Poltica de Seguridad Lgica un Centro de Res-
puesta a Incidentes de Seguridad Informtica. No se pretende aqu establecer un estndar a
seguir pero s establecer aspectos fundacionales que se deben considerar al momento de ex-
plicitar una poltica de Seguridad Lgica en el mbito de todo Centro de Respuesta.
3.2.2.1 Moti vacin

La Seguridad Lgica en un Centro de Respuesta es la seguridad en el uso del software y los
sistemas, la proteccin de los datos, procesos y programas as como la del acceso ordenado y
autorizado de los usuarios a la informacin. Involucra todas aquellas medidas establecidas para
minimizar los riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo
utilizando las tecnologas de la informacin y las comunicaciones. La correcta implementacin
de las mismas colaborar para la adecuada operacin del Centro.
La mayora de los daos que sufrir un Centro de Respuesta no ser sobre los medio fsicos
sino contra informacin por ellos almacenada y procesada.
La informacin, como recurso valioso de una organizacin, est expuesta a actos tantos inten-
cionales como accidentales de violacin de su confidencialidad, alteracin, borrado y copia, por
lo que se hace necesario que el usuario, propietario de esa informacin, adopte medidas de
proteccin contra accesos no autorizados.
Es frecuente leer y escuchar que todo lo que no est permitido est prohibido, y esa es una
premisa para trabajar en la elaboracin de una Poltica de Seguridad Lgica y de los procedi-
mientos que se deriven de ella.
3.2.2.2 Texto de la Propuesta de Poltica de Seguridad Lgica

Pgina 150

3.2.2.2.1 Objetivo
Establecer las pautas a seguir a los efectos de resguardar el acceso a los datos y que slo se
permita acceder a ellos a las personas autorizadas para hacerlo.
3.2.2.2.2 Al cance
Todos los datos en el Centro de Respuesta y los integrantes del mismo.
3.2.2.2.3 Contenido
Los diferentes sistemas del Centro de Respuesta deben ser administrados primariamente por
aquellos integrantes del mismo con formacin e idoneidad para ello.
No deben existir sistemas en el Centro de Respuesta que sean administrados por personas
que no pertenecen al mismo.
No deben existir sistemas pertenecientes al Centro de Respuesta pero instalados en una red
que no est nicamente bajo su completa administracin.
No debe contarse con un sistema para el que solamente un integrante del Centro posea los
conocimientos para su administracin.
Los regmenes de licencias o ausencia por viajes deben evitar que coincidan total o parcialmen-
te en el tiempo las personas que posean la formacin adecuada para administrar determinado
sistema.
La cantidad de usuarios definidos en cada sistema deben ser los estrictamente necesarios para
la correcta administracin, operacin y uso del mismo.
Peridicamente (cada tres meses) se debe analizar, para cada sistema del Centro, los usuarios
y sus permisos, como forma de verificar que son los correctos.
Para cada sistema presente en el Centro de Respuesta se debe verificar peridicamente (al
menos dos veces por semana) la aparicin de vulnerabilidades asociadas a los mismos y en
caso de existir, realizar las actualizaciones o aplicacin de parches que sugiera el proveedor a
los efectos de corregirlas. La informacin de aparicin de vulnerabilidades que afectan a los
diferentes sistemas, se pueden obtener por diferentes vas: sitios web de reconocida confianza,
suscripciones a listas de correo electrnico, RSS, grupos de noticias, servicios de alertas, entre
otros. Para cada sistema del Centro de Respuesta se debe seleccionar la o las vas de infor-
macin ms adecuada y procedimientar el procesamiento de las mismas en tiempo y forma.
Todo Centro de Respuesta deber proteger su red con una seguridad perimetral que contemple
la presencia de los siguientes sistemas: IDS (Intrusion Detection System), IPS (Intrusion Pre-
vention System), Firewall de Capa 3 y 4, Firewall de Aplicaciones y Sistema Antimalware.
Tanto las estaciones de trabajo de los integrantes del Centro como los servidores (de uso inter-
no y externo) debern contar con soluciones de seguridad similares a las mencionadas en el
punto anterior, condicionadas a lo que requiera cada uno en funcin del rol que desempea en
la instalacin.

Pgina 151

Todos los sistemas mencionados antes debern ofrecer mecanismos de registro (logs) con sus
horas sincronizadas y con un nivel de debugging adecuado para poder recurrir a ellos en el
momento de su anlisis o cuando un evento o incidente de seguridad as lo requiera. Asimismo
se deber implementar servicios de alertas para poder identificar actividades sospechas o ata-
ques. Peridicamente (cada no ms de una semana) se deben analizar los diferentes logs en
bsqueda de actividad sospechosa o de ataques.
Para las actividades de Investigacin y de Gestin de Incidentes (principalmente en lo que re-
fiere a anlisis de evidencia y artefactos), se deber contar con una infraestructura propia para
cada una de ellas, no compartida con la infraestructura vinculada al trabajo cotidiano del Centro
y asegurando, mediante los filtros de trfico adecuados, que una no afecte a la otra.
Las contraseas del usuario administrador (o su equivalente en cuanto a permisos) de los dife-
rentes sistemas que componen el Centro de Respuesta deben:
Ser conocidas nicamente por los integrantes del mismo que realmente las requieran
para su actividad cotidiana. Por ejemplo. No aparece como necesario que las conozca
el personal administrativo ni el Director Ejecutivo. Se debe asegurar en todo momento
que no exista el riesgo de tener un sistema del cual ninguno de los integrantes del Cen-
tro que en ese momento pueda o deba actuar en el mismo, se vea impedido de hacerlo
por desconocer la contrasea del usuario administrador.
No deben ser las mismas para todos los sistemas del Centro.
Ser cambiadas peridicamente, por ejemplo cada seis meses. No est permitido asignar
la contrasea actual de un sistema a la nueva de otro.
Respetar un formato bsico: no menos de ocho caracteres, con al menos una mayscu-
la, con al menos 1 nmero, con al menos un smbolo y sin contener palabras del idioma
espaol, portugus o ingls.
Respecto a las contraseas de los usuarios, ellas deben:
Ser conocidas cada una nicamente por su dueo
No deben ser las mismas para todos los sistemas del Centro.
Ser cambiadas peridicamente, por ejemplo cada seis meses. No est permitido asignar
la contrasea actual de un sistema a la nueva de otro.
Respetar un formato bsico: no menos de ocho caracteres, con al menos una mayscu-
la, con al menos 1 nmero, con al menos un smbolo y sin contener palabras del idioma
espaol, portugus o ingls.
Ningn integrante del Centro debe escribir ni colocar la contrasea de ninguna cuenta de
ningn sistema en lugares donde pueda ser descubierta por terceros.
Entendemos por sistemas, todo el hardware, software y sistemas operativos utilizados por el
Centro para su trabajo.
Los sistemas crticos incluirn mecanismos de chequeo de fortaleza de contraseas, que anun-
cien al dueo de la misma y al administrador del sistema, cuando se descubre alguna que no
respetan las condiciones que deben cumplir.

Pgina 152

Todos los sistemas debern ser configurados bajo la premisa de mnimo privilegio. Cada
usuario deber tener slo aquellos permisos que le aseguren poder desempear su tarea coti-
diana. Los firewalls debern permitir el trfico estrictamente necesario, entrante o saliente.
Los sistemas basados en firmas, debern ser actualizados con aquellas que se liberen y se
vinculen con configuraciones presentes en el Centro.
Peridicamente (cada no ms de una semana) se debe verificar que el Sistema Antimalware
est operando correctamente en cuanto a sus actualizaciones automticas.
En caso de requerirse por parte de los integrantes del Centro conexin remota al mismo, la
misma se deber implementar asegurando la confidencialidad e integridad de toda la informa-
cin que se transmita por ella, previa autenticacin del usuario.
Se debern implementar en los diferentes sistemas del Centro mecanismos de bloqueos de
cuentas, con el correspondiente aviso al administrador, ante tres intentos fallidos de acceso con
determinado usuario.
Se debern analizar las alternativas existentes para implementar mecanismos de bloqueo de
determinado trfico ante un comportamiento sospechoso por apartarse de lo normal, quizs en
conjuncin con lo reportado por el sistema IPS.
Los sistemas operativos de los diferentes sistemas que forman parte del Centro de Respuesta
deben ser aquellos que renan las siguientes condiciones:
Niveles de seguridad adecuados
Capacidad de administracin por parte de los integrantes del Centro
Correcta prestacin de los servicios que brindan
3.2.3 Propuesta de Poltica de Seguridad Fsica y Ambiental
Esta seccin documenta una propuesta de Poltica de Seguridad Fsica y Ambiental para un
Centro de Respuesta a Incidentes de Seguridad Informtica. No se pretende aqu establecer un
estndar a seguir pero s establecer aspectos fundacionales a respetar al momento de explici-
tar la poltica de seguridad fsica y ambiental para la operacin de todo Centro de Respuesta.
3.2.3.1 Moti vacin
Los mecanismos tendientes a otorgar seguridad fsica y ambiental al Centro de Respuesta co-
laboran con la preservacin de sus activos, donde incluimos a sus integrantes. La correcta im-
plementacin de los mismos colaborar para la adecuada operacin del Centro.
3.2.3.2 Consideraciones previas
Previo a determinar los mecanismos de proteccin fsica y ambiental se debe realizar un anli-
sis de riesgos, a los efectos de determinar la probabilidad de ocurrencia y severidad de cada
uno de ellos.
El objetivo es lograr un rea segura, en el sentido de prevenir el acceso fsico no autorizado,
los daos, y el acceso y/o dao a la informacin y el resto de los activos presentes en dicha
rea.

Pgina 153

Respecto a la seguridad la fsica, los riesgos a los que se puede estar expuesto son:
Derrumbe total o parcial
Atentados
Vandalismo
Huelgas
Respecto a la seguridad ambiental, los riesgos a los que se puede estar expuesto son:
Fuego
Humo
Inundacin
Humedad
Temperatura
Falla del sistema de ventilacin o del sistema de aire acondicionado
Desastres naturales: sismos, huracanes, ciclones, tornados, tormentas, rayos
Luego de identificados los riesgos se definirn los controles adecuados para mitigarlos.
Tendremos as controles fsicos, tcnicos, administrativos y ambientales.
Dentro de los controles fsicos podemos identificar los siguientes: guardias, muros, cercas elc-
tricas, rejas, iluminacin, cerraduras; todos asociables al concepto de control perimetral.
Dentro de los controles tcnicos podemos identificar los siguientes: cmaras, lectores de tarje-
tas de acceso (inteligentes o no), identificadores biomtricos, detectores de movimiento, alar-
mas sonoras y visuales, detectores de apertura de puertas o ventanas, asociados al concepto
de control perimetral.
No debemos olvidar que el techo y el piso (frecuentemente piso tcnico) del rea son parte
del permetro, realizar un anlisis de riesgos y de ser necesario, los controles a implementar.
Se debe verificar de manera peridica el funcionamiento correcto de cada uno de los controles
implementados, siempre que sea posible. Quizs los controles ambientales sean los ms com-
plejos de auditar, pero se deben estudiar las alternativas posibles para su revisin de forma de
simular una situacin lo ms parecida posible a la del momento en que debera actuar.
Dentro de los controles administrativos podemos identificar: eleccin adecuada del sitio, inven-
tarios y su control peridico, registros o logs de los accesos al sitio y su anlisis, control de las
personas que acceden, escritorios de recepcin y de validacin de credenciales y asistencia.
Entendemos por adecuada eleccin del sitio al hecho de poder contar con un sitio sin gran
visibilidad para las personas en general, en el sentido de fcilmente conocer su existencia, con
alternativas para el ingreso y salida y no compartido con otras unidades de trabajo.
El control de las personas que acceden tiene tres etapas claramente identificadas: se debe co-
nocer su situacin antes de ser empleado, su actividad durante el empleo y luego de cesado en
el empleo.

Pgina 154

Los escritorios de recepcin y de validacin de credenciales y asistencia deben ser el nivel de
seguridad siguiente con el que se encuentre toda persona que pretenda acceder al rea segu-
ra. En dicho escritorio, personal administrativo debidamente capacitado, concientizado y com-
prometido con su tarea, acompaado de por lo menos un guardia de seguridad debe solicitar a
la persona un comprobante de su identificacin, consultar acerca de a dnde concurre y qu
persona lo recibir. Antes de facilitarle el acceso, deber validar con la persona que lo recibir
que sta autoriza el acceso del visitante.
Dentro de los controles ambientales podemos identificar los siguientes: detectores de humo,
detectores de agua, detectores de cambios importantes de la temperatura del aire, detectores
de cambio importante en la humedad, sensores de contaminacin del aire, inspecciones por
parte de personal del Cuerpo de Bomberos, materiales de construccin no inflamables, cablea-
do elctrico no inflamable y en ductos adecuados y, adecuados extintores porttiles segn el
tipo de material presente donde se presente un incendio.
3.2.3.3 Texto de la Propuesta de Poltica de Seguridad Fsica y Ambiental
3.2.3.3.1 Objetivo
Formalizar los lineamientos a seguir para que el Centro de Respuesta disponga de un rea con
seguridad fsica y ambiental.
3.2.3.3.2 Al cance
Todas las salas que cuenten con equipamiento del Centro de Respuesta.
3.2.3.3.3 Contenido
La prosecucin del objetivo de que el Centro de Respuesta cuente con un rea segura siempre
deber estar precedida de un anlisis de riesgos, para posteriormente determinar los controles
a implementar para mitigarlos. Del mismo deben participar los integrantes del Centro de Res-
puesta siendo recomendable la participacin de personas con formacin en Gestin de Riesgos
y Seguridad de la Informacin, con los correspondientes acuerdos de confidencialidad previa-
mente firmados.
El espritu de la presente poltica es que sea la base fundacional para la implementacin de los
procedimientos que sean necesarios para implementar los mecanismos, en general de detec-
cin, proteccin y disuasivos para obtener un rea con seguridad fsica y ambiental.
El anlisis de riesgos deber contemplar, como mnimo los siguientes:
Derrumbe total o parcial
Atentados
Vandalismo
Huelgas
Fuego
Humo

Pgina 155

Inundacin
Humedad
Temperatura
Falla del sistema de ventilacin o del sistema de aire acondicionado
Desastres naturales: sismos, huracanes, ciclones, tornados, tormentas, rayos
El anlisis de riesgos se debe repetir con una periodicidad no mayor a dos aos.
Luego del anlisis mencionado, se determinarn los controles a implementar, debindose cum-
plir como mnimo con la implementacin de los siguientes:
Implementacin de seguridad perimetral mediante una clara delimitacin de la frontera del pre-
dio donde se encuentra instalado el Centro de Respuesta, sin una clara alusin a la presencia
del mismo all. La seguridad perimetral deber comprender rejas, muros o paredes que impidan
el fcil acceso, cmaras de vigilancia con almacenamiento de las imgenes registradas y que
cubran todo el permetro, iluminacin que asegure la adecuada visualizacin del registro de las
cmaras instaladas y al menos un guardia de seguridad y un franqueo de traspaso del perme-
tro luego de anunciarse y de haber verificado que se ha registrado correctamente mediante una
cmara especialmente dedicada, el rostro de la persona.
El acceso franqueado debe ser a un sitio intermedio, donde la posibilidad de atravesar la si-
guiente puerta slo ser posible una vez que quien realiz el control anterior verific que slo
esa persona se encuentra all. Un mecanismo automtico pero con poder de ser deshabilitado
en caso de emergencias impedir siempre que ambas puertas de dicho espacio intermedio se
encuentren abiertas al mismo tiempo.
Luego de atravesar dicha zona intermedia, la persona deber presentarse en un escritorio de
recepcin y de validacin de credenciales y asistencia. En dicho escritorio, personal administra-
tivo debidamente capacitado, concientizado y comprometido con su tarea, acompaado de por
lo menos un guardia de seguridad debe solicitar a la persona un comprobante de su identifica-
cin, consultar acerca de a dnde concurre y qu persona lo recibir. Antes de facilitarle el ac-
ceso, deber validar con la persona que lo recibir que sta autoriza el acceso del visitante.
El acceso propiamente a rea segura del Centro de Respuesta debe ser, para los integrantes
del Equipo luego de ser autenticado por un control biomtrico cuya administracin debera estar
bajo la supervisin del Centro; para los visitantes el franqueo debe ser otorgado una vez que
por lo menos un integrante del Centro verifique visualmente que se trata de la persona que se
present en el escritorio de recepcin.
En el caso de los visitantes, inmediatamente despus de su retiro del Centro de Respuesta,
alguno de los integrantes del Centro de Respuesta deber anunciarlo al escritorio de recepcin.
Todas las comunicaciones entre el escritorio de recepcin y el Centro de Respuesta deben ser
registradas y debidamente almacenadas. Nos referimos aqu a la hora del establecimiento de la
misma, su duracin y los nmeros A y B.
Peridicamente se debe revisar qu accesos estn autorizados en el sistema biomtrico.
El rea segura del Centro de Respuesta deber contar en su interior como mnimo con los si-
guientes controles:

Pgina 156

Cmaras de vigilancia que registren las posibles vas de entrada al mismo (puertas,
ventanas)
Detectores de humo
Extintores de incendio adecuados al material disponible en el rea
Mecanismos automticos de deshabilitacin de tranca automtica de puertas ante la
ocurrencia de emergencias
Instalaciones elctricas cumpliendo las normas de seguridad establecidas por la autori-
dad reguladora correspondiente
Inspeccin peridica por parte de personal del Cuerpo de Bomberos
El anlisis de riesgo realizado puede implicar un aumento en la cantidad de controles a imple-
mentar, nunca una disminucin.
3.2.4 Propuesta de Poltica de Gestin de Incidentes
Esta seccin documenta una propuesta de Poltica de Gestin de Incidentes para un Centro de
Respuesta a Incidentes de Seguridad Informtica. No se pretende aqu establecer un estndar
a seguir pero s establecer aspectos fundacionales que deben considerar al momento de expli-
citar los lineamientos fundacionales para la gestin de incidentes de todo Centro de Respuesta.
3.2.4.1 Moti vacin
La Poltica de Gestin de Incidentes documenta los lineamientos fundamentales a respetar pa-
ra cumplir adecuadamente con el principal servicio de un Centro de Respuesta. Por tratarse del
servicio que le da la razn de existir al Centro, requiere especial atencin documentar su polti-
ca y todos los procedimientos asociados.
3.2.4.2 Consideraciones previas
Previo a entrar en materia especfica de la poltica, es oportuno y necesario clarificar algunos
conceptos que sern utilizados ms adelante.
En la actividad cotidiana de toda organizacin en general que brinda determinado tipo de servi-
cios y todo Centro de Respuesta en particular resulta importante tener identificadas, lo ms cla-
ramente posible cules son las expectativas de la Comunidad Objetivo. Esas expectativas de-
ben ser identificadas y de ser posible validadas durante la creacin del Centro y a lo largo de
toda su existencia [RFC2350].
En toda organizacin en general existen (o deberan existir) diversos tipos de medidas que se
toman a los efectos de prevenir los incidentes, siendo stas acciones proactivas muy adecua-
das. Pero no todos los incidentes se pueden prevenir. Por lo tanto es necesario desplegar una
capacidad de detectar incidentes, minimizar las prdidas y la destruccin asociada, mitigando
las debilidades que permitieron su ocurrencia, restaurando lo antes posibles los sistemas que
se vieron afectados y aprendiendo de lo ocurrido, a los efectos de minimizar la probabilidad de
que se vuelva a repetir. Por lo tanto, se deber estar adecuadamente preparado para llevar
adelante acciones reactivas, las asociadas a la gestin de incidentes de seguridad.

Pgina 157

La expresin aprender de lo ocurrido (o lecciones aprendidas) incluye fundamentalmente la
identificacin de acciones a emprender. Algunos ejemplos son:
Identificar la necesidad de un cambio en algn sistema (como ser, ampliar un sistema
en cuanto a su capacidad, aumentar o disminuir el nivel de logging, sustituir el sistema
por otro)
Identificar la necesidad de cambios en alguna poltica o procedimiento del Centro de
Respuesta
Identificar la necesidad de capacitacin en determinada temtica, tanto por parte de los
integrantes del Centro como tambin de la Comunidad Objetivo.
Identificar la necesidad de elaborar algn manual.
Las lecciones aprendidas ayudan a que los integrantes del Centro de Respuesta ganen expe-
riencia y confianza en la gestin de incidentes.
3.2.4.3 La Gestin de Incidentes de Seguridad
La Gestin de Incidentes de Seguridad es el conjunto de todas las acciones, medidas, meca-
nismos, recomendaciones, tanto proactivos como reactivos, tendientes a evitar y eventualmen-
te responder de manera eficaz y eficiente a incidentes de seguridad que afecten activos de una
organizacin minimizando su impacto en el negocio y la probabilidad de que se repita [SP800-
61].
La proactividad est sustentada en tareas de sensibilizacin, capacitacin y entrenamiento,
tests de penetracin, auditoras, entre otras. Si bien el Centro de Respuesta no es directamente
responsable de la tarea de prevencin, se considera que es una tarea ms a realizar, que en
conjuncin con la respuesta a incidentes le da forma al concepto de gestin de incidentes.
La reactividad est sustentada en las tareas de comprender el incidente, identificar las vulnera-
bilidades involucradas, aislarlas, analizar los artefactos involucrados, recuperar los sistemas
afectados, verificar que ya no son vulnerables por lo menos a lo que ocasion el incidente, ase-
sorar a la organizacin afectada sobre cmo gestionar la informacin vinculada al incidente y la
eventual recoleccin y preservacin de evidencia para una posible instancia judicial. Un objeti-
vo no primario de la gestin de incidentes es identificar al atacante.
Podemos identificar claramente tres fases en la gestin de incidentes de seguridad: la fase pre-
via al reporte de un incidente de seguridad, la fase donde transcurre la gestin de un incidente
de seguridad y la fase posterior a la gestin del incidente de seguridad, a las que denominare-
mos fase pre-incidente, fase incidente y fase post-incidente
En [ISS-CSIRP] se identifican cinco fases en la respuesta a un incidente:
, respectivamente. Entre las dos
primeras fases hay una actividad muy importante que es la de recepcin de un Reporte de un
potencial Evento o Incidente de seguridad y la realizacin de un primer anlisis del mismo para
determinar las acciones a tomar y los recursos a asignar para la gestin del mismo. En [ISS-
CSIRP] se brinda una posible escala de severidad a ser utilizada al momentos de diagnosticar
un incidente de seguridad y comenzar su gestin.
Alerta: Es el proceso de tomar conocimiento sobre un potencial incidente de seguridad

Pgina 158

Triage: Se analiza la informacin disponible sobre el potencial incidente de seguridad y,
si efectivamente es un incidente, se determina la severidad del mismo y se asignan los
recursos necesarios.
Respuesta: Son el conjunto de acciones tendientes a identificar las vulnerabilidades que
causaron el incidente, a eliminarlas (puede implicar quitar de produccin a los sistemas
afectados), a comprender cabalmente el impacto del incidente y eventualmente a la re-
coleccin de evidencia para un posible uso en instancias judiciales.
Recuperacin: Se puede solapar en el tiempo con la anterior. Se restauran los sistemas
afectados probando que ya no son vulnerables a lo que ocasion el incidente de seguri-
dad y por lo tanto, pueden retornar a produccin.
Mantenimiento: Es la fase de lecciones aprendidas. En ella se analiza todo el inciden-
te, en todas sus fases, buscando determinar qu cosas funcionaron correctamente y
cuales hay que corregir, por ejemplo, cambiando la configuracin de algn sistema, cre-
ando un procedimiento faltante, modificando uno ya existente, etc.
3.2.4.4 Definicin de Evento e Incidente de Seguridad
Se denomina Evento
El termino sistema lo utilizaremos en un sentido muy amplio, para no perder generalidad a la
hora de fijar los conceptos.
a toda ocurrencia observable en un sistema.
Es importante aclarar desde ya que no necesariamente un evento es un acto malicioso.
Los siguientes son solo algunos ejemplos de eventos posibles:
enviar un correo electrnico
enviar SPAM
recibir un GET en un servidor Web
enviar un SMS
no dejar pasar un segmento TCP SYN en un firewall
recibir un SMS con propaganda no solicitada
dejar pasar un segmento TCP SYN en un firewall
. De estos ejemplos podemos deducir que algunos claramente no son maliciosos y otros podr-
an serlo, pero que sin duda se les puede calificar como eventos adversos, ya que tienen algu-
na consecuencia negativa para algn sistema.
Un Incidente
Algunos ejemplos de incidentes son:
(de seguridad) es una violacin o una amenaza de violacin inminente (intencional
o no) a las polticas de seguridad y/o a las polticas de uso aceptable de una organizacin.
acceso no autorizado a un sistema
o Por elevacin de privilegios

Pgina 159

o Por acceso al archivo de passwords
DoS (Denial of Service)
o Envo de paquetes malformados
o Flooding de ICMP
sabotaje
uso inapropiado de algn sistema
o Amenazas va correo electrnico o va SMS
o Servidor de una organizacin como repositorio de videos no vinculados al traba-
jo
actividades de Ingeniera Social
fraude
distribucin de algn malware
o Gusano
o Virus
combinacin de algunos de los anteriores
Luego de haber brindado las definiciones anteriores, resulta apropiado incluir algunas definicio-
nes documentadas en [RFC4949].
Evento de seguridad
- Logging de un operador a un sistema o logout de l.
: Una ocurrencia en un sistema que es relevante para la seguridad del
mismo (Ver: incidente se seguridad) y aclara a continuacin que El trmino comprende tanto a
eventos que son incidentes de seguridad como a aquellos que no lo son. Por ejemplo, en una
estacin de trabajo CA una lista de eventos de seguridad podra incluir lo siguiente:
- Realizacin de una operacin criptogrfica, por ejemplo, firmar un certificado digital o
una CRL.
- Realizacin una operacin con una tarjeta criptogrfica: creacin, insercin, remocin o
respaldo.
- Realizacin de una operacin vinculada al ciclo de vida de un certificado digital: renova-
cin de clave, renovacin revocacin o actualizacin.
- Colocacin de un certificado digital en un Directorio X.500.
- Recepcin de una notificacin de clave comprometida.
- Recepcin de una peticin de certificado no adecuada.
- Deteccin de de una condicin de alarma reportada por un mdulo criptogrfico.
- Falla en un test de hardware o de un chequeo de integridad de un software.

Pgina 160

Incidente de seguridad: Un evento de seguridad que involucra una violacin a la seguridad
(Ver: CERT, evento de seguridad, intrusin de seguridad, violacin de seguridad) y aclara a
continuacin que En otras palabras, un evento de seguridad en el cual las polticas de seguri-
dad del sistema es desobedecida o violada de otro modo.
Intrusin de seguridad: Un evento de seguridad o una combinacin de mltiples eventos de
seguridad que constituyen un incidente de seguridad en el cual un intruso obtiene o intenta ob-
tener acceso a un sistema o a los recursos de un sistema sin la autorizacin para hacerlo.
Violacin de seguridad
El comportamiento de un sistema fuera de lo normal o de lo esperado se puede deber o no a
que se est en presencia de un incidente de seguridad. El administrador del sistema puede
tender a pensar que siempre es un problema de software, hardware o de la aplicacin que lo
utiliza. El integrante del Centro de Respuesta puede tender a pensar que siempre es un inci-
dente de seguridad. Es importante tratar de conciliar los dos mundos.
: Un acto o evento que desobedece o viola de otro modo una poltica de
seguridad.
En [TWri01] se brinda una gua que puede servir como referencia para elaborar una Poltica de
Respuesta a Incidentes.
3.2.4.5 Texto de la Propuesta de Poltica de Gestin de Incidentes
3.2.4.5.1 Objetivo
Documentar los lineamientos a seguir en el Centro de Respuesta para una adecuada gestin
de incidentes de seguridad, a la cual se debern ceir todos los procedimientos que se elabo-
ren para ello.
3.2.4.5.2 Al cance
Todos los eventos e incidentes que sean reportados por cualquier va al Centro de Respuesta.
3.2.4.5.3 Definiciones
A continuacin definimos evento de seguridad e incidente de seguridad
Evento de seguridad: Una ocurrencia en un sistema que es relevante para la seguridad del
mismo.
Incidente de seguridad: Un evento de seguridad que involucra una violacin a la seguridad.
3.2.4.5.4 Contenido
Todo evento o incidente (de seguridad) que sea reportado por cualquier va al Centro de Res-
puesta debe ser debidamente registrado en un sistema electrnico destinado exclusivamente
para ello.

Una lista no exhaustiva de vas de reporte es:
correo electrnico

Pgina 161

IDS (Intrusion Detection System)
fax
formulario web
nota
Firewall
llamada telefnica
chat
hablado
IPS (Intrusion Prevention System). En algunos contextos se pueden encontrar mencio-
nes a IDPS (Intrusion Detection and Prevention Systems)
prensa
RSS
logs
Web
El Centro de Respuesta deber explicitar de manera clara y sin ambigedades los mecanismos
y mtodos para realizar reportes de eventos o incidentes de seguridad.
En el Apndice E de [CERT03tr] hay ejemplos de formularios de reporte de incidentes.
Si la recepcin de un reporte de un evento o incidente de seguridad proviene de una fuente no
confiable, se deber intentar validar la misma por una o ms vas.
Todos los integrantes del Centro de Respuesta debern bregar por mantener la confidenciali-
dad de la informacin suministrada por quien reporta el evento o incidente as como su anoni-
mato. Una causa que puede levantar este lineamiento es una solicitud judicial (mediante Oficio
J udicial), pero siempre se debe asegurar que quien reporta y lo reportado slo sea conocido
por las personas que estrictamente lo requieran.
En todo momento los integrantes se deben regir segn dicta la Misin, la Visin y el Cdigo de
tica del Centro de Respuesta as como, en caso que corresponda, de la organizacin que
brinda el hosting al mismo.
Al recibir un reporte se debe verificar que provenga de un integrante de la Comunidad Objetivo
del Centro de Respuesta. En caso de no serlo, el mismo no ser tratado pero se le devolver a
su autor la mejor informacin disponible para que identifique el Centro de Respuesta que le co-
rresponde.
Si lo reportado es considerado un incidente de seguridad se deber identificar explcitamente
qu integrante del Centro de Respuesta tendr a su cargo la gestin del mismo.
Ante la duda de si se trata un incidente de seguridad o por ejemplo, un problema de funciona-
miento de un sistema pero no debido a la explotacin de una vulnerabilidad, debe ser conside-
rado como un incidente, asignarlo y gestionarlo.

Pgina 162

Es recomendable tambin llevar un registro de los incidentes de seguridad que no fueron tales
(falso positivo).
El incidente de seguridad deber ser calificado en cuanto a la severidad del mismo (priorizar-
los). Para ello se debe adoptar una estrategia de visin desde varios ngulos, tcnicos y no
tcnicos, la que deber contemplar:
Riesgos de vidas
Nivel de afectacin del sistema comprometido
Afectacin en el servicio que presta
Prdidas y costos involucrados
Afectacin de imagen y reputacin
El nivel de severidad determinar la cantidad de recursos humanos y tcnicos a destinar en el
Centro de Respuesta para una adecuada gestin del mismo.
Se define una escala par de niveles de severidad para evitar un posible abuso en la asignacin
del nivel medio.
Los niveles de severidad (en orden creciente) son:
Bajo
Medio
Alto
Extremo
El nivel de severidad asignado a un incidente es un mecanismo de organizacin interna en el
Centro de Respuesta y que no debe ser anunciado a ninguna persona externa al mismo, reci-
biendo la clasificacin de informacin de uso interno de acuerdo a la Poltica de Clasificacin
de la Informacin.
La actividad de asignar el nivel de severidad a cada incidente de seguridad as como el inte-
grante del Centro que lo gestionar recae sobre quien lleva adelante la funcin de Triage.
La gestin del incidente podr requerir la la solicitud de informacin adicional o complementaria
a quien lo report, a otros Centros de Respuesta o a otras organizaciones que se identifiquen
durante la gestin como posiblemente involucradas directa o indirectamente con el incidente.
Dichas comunicaciones se debern realizar conforme a lo expresado en la Poltica de Difusin
de la Informacin.
La actividad de gestin del incidente podr determinar que se modifique grado de severidad
asignad hasta ese momento. En caso ocurrir ello debe ser informado al Gerente Operacional.
Un incidente que ha obtenido un nivel de severidad bajo podr ser gestionado mediante un
procedimiento elaborado a tales efectos y debidamente probado en situaciones similares. Por
ejemplo, podemos asociar a estos casos una actividad de SPAM o la difusin de un virus en
alguna red, sin que la afecte de tal forma que quede indisponible. En ese caso el nivel no de-
bera ser bajo.

Pgina 163

Luego de gestionado el incidente se deber elaborar un Informe de Cierre que se almacenar
ordenadamente en el sistema de registro y al que podrn tener acceso todos los integrantes del
Centro de Respuesta. Dicho Informe de Cierre deber tener un carcter puramente tcnico y
nunca podr incluir consideraciones subjetivas, opiniones o suposiciones. En el mismo se de-
ber documentar de una manera secuencial en el tiempo todos los aspectos relevantes vincu-
lados con el incidente reportado, incluso los motivos del cierre del mismo. Ante la duda de si un
hecho es relevante, se lo debe considerar como tal.
El Director Ejecutivo del Centro de Respuesta, quizs en conjunto con el Gerente Operacional
(a slo criterio de aquel) elaborar/n a partir del Informe de Cierre, un informe a presentar a
quien realiz el reporte. Este informe, denominado Informe Devolucin al Cliente, deber estar
alineado a lo expresado en la Poltica de Difusin de la Informacin para el caso de informacin
generada en el Centro de Respuesta.
El Informe Devolucin al Cliente tambin se almacenar ordenadamente en el sistema de regis-
tro.
Se considerar que se ha concluido la gestin del incidente cuando as sea solicitado por quien
a realizado el reporte que lo motiv o cuando el integrante del Centro de Respuesta que estuvo
a cargo de su gestin entiende que se han tomado las acciones necesarias y posibles para mi-
tigar lo denunciado y se est en un estado controlado. Siempre que sea posible se debe
acordar entre las partes interesadas el cierre del incidente.
Todos los incidentes que estn siendo gestionados por el Centro De Respuesta debern man-
tener una nivel de actividad mnimo que justifique que permanezcan en gestin. Se entender
por nivel de actividad mnima el intercambio de informacin no banal para su gestin con una
frecuencia no menor a una vez cada quince das. En caso contrario se considerar que la ges-
tin ha concluido y se proceder a su cierre. Luego del cierre, si se recibe un reporte sobre la
misma temtica aunque provenga de la misma persona o, de una persona de la misma unidad
u organizacin, se considerar como un incidente nuevo y se documentar su vinculacin con
el anterior. Por tratarse de un incidente nuevo se le debe asignar un nivel de severidad no con-
dicionado por los asignados a incidentes de la misma temtica.
La gestin de un incidente puede ocasionar que sea necesario realizar algn tipo de comunica-
cin a parte de la Comunidad Objetivo o a su totalidad. Dicha comunicacin puede ser algn
tipo de alerta o aviso respecto a alguna vulnerabilidad. Siempre se deber asegurar el anoni-
mato de quien report el incidente as como la confidencialidad de toda la informacin vincula-
da al incidente que se considere sensible, de acuerdo a lo expresado en la Poltica de Difusin
de la Informacin.
Todas las disyuntivas vinculadas a cualquier incidente debern ser salvadas entre el integrante
del Centro de Respuesta que tiene a su cargo la gestin del mismo y el Director Operacional.
En caso de ser la misma persona o de no llegar a un acuerdo, la decisin recaer en el Director
Ejecutivo.
Luego que un incidente con nivel de severidad alto o extremo ha sido cerrado, se deber
realizar, en un lapso no mayor a quince das, una reunin de lecciones aprendidas, donde los
integrantes del Centro analizarn el incidente en su totalidad, desde el momento que se recibe
el reporte que lo motiv hasta su cierre. Se debern identificar las cosas realizadas correcta-
mente y aquellas que no y cmo corregir stas ltimas.

Pgina 164

En el caso de incidentes con niveles de severidad bajo o medio y de falsos positivos, tam-
bin se debe realizar una reunin de lecciones aprendidas pero en ese caso, se pueden con-
siderar varios incidentes en la misma reunin. La periodicidad de estas reuniones ser determi-
nada por el Director Operacional, considerando los siguientes aspectos: cantidad de incidentes
a tratar, duracin de la misma, tiempo transcurrido desde la ltima reunin de lecciones apren-
didas, posible pico laboral, disponibilidad y nivel de estrs de los integrantes del Centro.
Los conocimientos adquiridos durante la gestin de cada incidente debern ser compartidos
con el resto de los integrantes del Centro mediante actividades privadas como ser talleres o
seminarios, en un lapso no mayor a dos meses desde el cierre del mismo.
A partir de estas dos instancias (lecciones aprendidas y talleres o seminarios) surgir infor-
macin en diferentes formas que servirn para que, tanto el Centro de Respuesta como la Co-
munidad Objetivo est mejor preparada para enfrentar situaciones futuras similares. La difusin
de dicha informacin se har de acuerdo a lo expresado en la Poltica de Difusin de la Infor-
macin.

Pgina 165

CAPITULO 3.3

Propuesta de Polticas de
Manejo de la Informacin

Pgina 166


NOMBRE DOCUMENTO: Propuesta de Polticas de Manejo de la Informacin.






Resumen.
En el presente captulo se documenta una propuesta de polticas de Manejo de la In-
formacin por parte de un Centro de Respuesta a Incidentes de Seguridad Informtica

Se presentan aqu cuatro propuestas: de Acceso a la Informacin, de Proteccin de la
Informacin, de Difusin de la Informacin y de Guarda de la Informacin.

Es importante aclarar que las cuatro propuestas no significan la totalidad de las polti-
cas y procedimientos que deben definirse en un Centro de Respuesta, pero son una
base importante para comprender el espritu de las mismas y poder desarrollar las de-
ms que se requieran.

Pgina 167

3.3.1 Propuesta de Poltica de Acceso a la Informacin
Esta seccin documenta una propuesta de Poltica de Acceso a la Informacin de un Centro de
Respuesta a Incidentes de Seguridad Informtica. No se pretende aqu establecer un estndar
a seguir pero s establecer aspectos fundacionales necesarios al momento de explicitar los li-
neamientos fundamentales para el acceso a la informacin en un Centro de Respuesta.
3.3.1.1 Texto de la Propuesta de Poltica de Acceso a la Informacin
3.3.1.1.1 Objetivo
Establecer qu tipo de informacin y cmo pueden acceder los integrantes del Centro de Res-
puesta, los integrantes de otros Centros de Respuesta, los integrantes de la Comunidad Objeti-
vo y los actores legales que puedan estar involucrados en la gestin de un incidente de seguri-
dad u otra actividad vinculada a algn servicio del Centro de Respuesta.
3.3.1.1.2 Al cance
Toda la informacin que disponga el Centro de Respuesta.
3.3.1.1.3 Contenido
Todo integrante del Centro de Respuesta tendr acceso a toda la informacin vinculada a todos
los eventos e incidentes de seguridad ya gestionados y en gestin.
El acceso a la informacin vinculada a un incidente ya cerrado ser utilizada con el nico fin de
mejorar la capacitacin, formacin y entrenamiento de los integrantes del Centro de Respuesta.
Tambin podr ser utilizada para la emisin de alertas, avisos o documentos de mejores prcti-
cas, preservando siempre el anonimato de las personas e instituciones involucradas en el inci-
dente aso como toda la informacin particular del mismo, que seguir siendo considerada co-
mo confidencial.
Toda la informacin suministrada por un integrante de la Comunidad Objetivo durante la ges-
tin de un incidente de seguridad deber se considerada como confidencial y se le deber in-
formar de ello apropiadamente.
Todos los integrantes del Centro de Respuesta debern tener firmada una copia impresa de un
NDA (Non-Disclosure Agreement) o Compromiso de Confidencialidad y se deber difundir
apropiadamente en la Comunidad Objetivo tal situacin.
Durante la gestin de un incidente de seguridad y cuando informacin vinculada al mismo deba
ser facilitada a otro integrante de la Comunidad Objetivo o a algn integrante de otro Centro de
Respuesta, se deber hacer de acuerdo a lo expresado en la Poltica de Difusin de la Infor-
macin.
Las comunicaciones telefnicas, va chat, o simplemente habladas slo pueden ser utilizadas
para coordinar actividades, pero siempre se debe dejar documentados,y con los niveles de se-
guridad adecuados (autenticacin, integridad, confidencialidad, segn corresponda), qu tipo
de informacin se intercambi con quin, cundo y por qu va.

Pgina 168

En la gestin de ningn incidente de seguridad se podr obligar (sin acciones legales) a un in-
tegrante de la Comunidad Objetivo que facilite alguna informacin. Si el integrante del Centro
de Respuesta que tiene a su cargo la gestin del incidente entiende que la informacin que no
se logra obtener resulta importante para el xito de la gestin del mismo, deber hacrselo sa-
ber al miembro de la Comunidad Objetivo, teniendo siempre presente el Cdigo de tica del
Centro.
El acceso a informacin en formato impreso o entregada en mano, as como aquella que est
contenida en algn medio de almacenamiento magntico o digital, deber ser siempre posterior
a la firma por ambas partes (quien la entrega y quien la recibe) de un documento (y su copia)
que describa claramente y sin dejar lugar a ambigedades o dudas, qu es lo que se est en-
tregando/recibiendo, la fecha y hora de ocurrencia, con la presencia del Responsable Legal del
Centro a los efectos de validar el acto y mediante el registro en imgenes y/o video de todo el
proceso.
No podrn existir solicitudes de acceso a informacin en poder del Centro de Respuesta que no
sean respondidas afirmativa o negativamente y el motivo de esto ltimo.

3.3.2 Propuesta de Poltica de Proteccin de la Informacin
Esta seccin documenta una propuesta de Poltica de Proteccin de la Informacin de un Cen-
tro de Respuesta a Incidentes de Seguridad Informtica. No se pretende aqu establecer un
estndar a seguir pero s establecer aspectos fundacionales que se deben considerar al mo-
mento de establecer lineamientos fundamentales para la proteccin de la informacin en un
3.3.2.1 Objeti vo
Establecer los lineamientos generales para la proteccin de toda la informacin utilizada por el
Centro de Respuesta para su actividad cotidiana.
3.3.2.2 Al cance
Toda la informacin de que dispone el Centro de Respuesta.
3.3.2.3 Contenido
Discriminaremos en funcin de la clasificacin documentada en la Poltica de Clasificacin de la
Informacin, que establece cuatro categoras: secreta, confidencial, uso interno y pblica.
Toda informacin, en cualquier medio, deber explicitar de manera clara y sin lugar a dudas
cmo est clasificada.
Informacin secreta
Cuando se trata de informacin en formato lgico, deber almacenarse asegurando la
confidencialidad con largo mnimo de clave de 1024 bits e integridad con funcin de
hash SHA-1.
Cuando se trata de informacin en formato fsico, deber almacenarse en sobre cerrado
y en una caja fuerte ubicada dentro del sitio del Centro.

Pgina 169

No debe existir ninguna fuente de informacin de la existencia de la misma, que tenga
un nivel proteccin menor a la de la informacin que referencia.
Deber existir control de acceso a la misma.
El acceso a la misma en forma remota deber ser asegurando la confidencialidad y la
integridad, utilizando algunos de los siguientes protocolos: https, sftp o ssh.
De requerirse, la transmisin de informacin secreta ser cifrada con clave pblica de
largo mnimo de 1024 bits.
No podr almacenarse en estaciones de trabajo, servidores, notebooks o dispositivos de
almacenamiento porttiles que no estn almacenados en una caja fuerte ubicada dentro
del sitio del Centro.
No debe ser comentada con ninguna persona ajena al Centro de Respuesta.
Informacin confidencial
Cuando se trata de informacin en formato lgico, deber almacenarse asegurando la
confidencialidad con largo mnimo de clave de 1024 bits e integridad con funcin de
hash SHA-1.
Cuando se trata de informacin en formato fsico, deber almacenarse en sobre cerrado
y en una caja fuerte ubicada dentro del sitio del Centro.
No debe existir ninguna fuente de informacin de la existencia de la misma, que tenga
un nivel proteccin menor a la de la informacin que referencia.
integridad utilizando algunos de los siguientes protocolos: https, sftp o ssh.
De requerirse, la transmisin de informacin secreta ser cifrada con clave pblica de
largo mnimo de 1024 bits.
Podr almacenarse en estaciones de trabajo, servidores, notebooks o dispositivos de
almacenamiento porttiles, asegurando confidencialidad con clave de largo mnimo de
1024 bits.
No podr almacenarse en sistemas remotos propietarios de los integrantes del Centro.
Informacin de Uso interno
Cuando se trata de informacin en formato lgico, el nombre del mismo, el valor de la
ltima versin, la fecha de creacin, la fecha de hecho pblico y el valor del hash se de-
ber almacenar en un dispositivo de almacenamiento en una caja fuerte instalada de-
ntro del sitio del Centro.
Cuando se trata de informacin en formato fsico, la misma no podr salir del sitio del

Pgina 170

La informacin de uso interno no debe ser difundida fuera del mbito del Centro de
Respuesta.
integridad.
En sistemas remotos propietarios de los integrantes del Centro slo podr ser almace-
nada cifrada con clave de largo mnimo de 1024 bits.
Informacin pblica
Cuando se trata de informacin en formato lgico, el nombre del mismo, el valor de la
ltima versin, la fecha de creacin, la fecha de hecho pblico y el valor del hash se de-
ber almacenar en un dispositivo de almacenamiento en una caja fuerte instalada de-
ntro del sitio del Centro.
Cuando se trata de informacin en formato fsico, para que sea considerada vlida y
autntica, siempre debe existir la misma informacin en formato lgico segn lo expre-
sado en el prrafo anterior.
3.3.3 Propuesta de Poltica de Difusin de la Informacin
Esta seccin documenta una propuesta de Poltica de Difusin de la Informacin de un Centro
de Respuesta a Incidentes de Seguridad Informtica. No se pretende aqu establecer un estn-
dar a seguir pero s establecer aspectos fundacionales que se deben considerar al momento de
establecer lineamientos fundamentales para la difusin de la informacin en un Centro de
Respuesta.
El Centro de Respuesta gestiona en su actividad diaria un importante volumen de informacin
en diferentes formatos, que puede o no provenir de diversas fuentes, que puede o no ser remi-
tida a diversos destinos y que puede ser o no slo de uso interno, en todas las combinaciones
posibles y utilizando mtodos de difusin y mecanismos de proteccin variados.
3.3.3.1 Texto de la Propuesta de Poltica de Difusin de la Informacin
3.3.3.1.1 Objetivo
Determinar, para toda la informacin que gestiona el Centro de Respuesta, a quienes se puede
difundir, utilizando qu mtodos y con qu mecanismos de proteccin.
3.3.3.1.2 Al cance
Aplica a toda la informacin que gestione el Centro de Respuesta. En este contexto gestionar
informacin implica alguna de las siguientes acciones con la informacin: recibir, procesar, al-
macenar, destruir, generar y enviar.
3.3.3.1.3 Contenido

Pgina 171

Informacin recibida
Toda la Informacin recibida en el Centro de Respuesta deber preservar la clasifica-
cin otorgada por quin la gener. Una disminucin del nivel de clasificacin deber re-
querir que previamente quien la haya generado otorgue por escrito el consentimiento
correspondiente.
Toda la informacin asociada a la gestin de un incidente de seguridad o a un evento
ser clasificada como confidencial.
Informacin procesada
Toda informacin procesada en el Centro de Respuesta deber ser clasificada de
acuerdo a lo expresado en la Poltica de Clasificacin de la Informacin.
Toda la informacin procesada en el Centro de Respuesta deber preservar la clasifica-
cin otorgada por quin la gener y respetar las condiciones de difusin por l expresa-
das. El cambio de algunas de estas condiciones deber requerir que a priori se obtenga
un consentimiento por escrito que lo autorice.
Informacin almacenada
Ver Poltica de Almacenamiento de la Informacin.
Informacin destruida
Ver Poltica de Destruccin de la Informacin.
Informacin generada
Toda la informacin generada en el Centro deber tener explicitada su clasificacin en
base a la Poltica de Clasificacin de la Informacin.
Informacin enviada
Si se trata de informacin generada en el Centro, se deber difundir explicitando la cla-
sificacin de la misma.
Quien enva la informacin, siempre debe verificar que el destinatario es quien se desea
y que es correcto que sea recibida por l.
Si se trata de difusin de informacin generada por personas o sistemas externos al Centro de
Respuesta y se requiere por parte del destinatario de la misma conocer su origen, previo a in-
formarlo se debe contar con el visto bueno por escrito de tal autorizacin.
Si la difusin se hace en formato electrnico, a travs de redes como ser Internet y es informa-
cin clasificada como confidencial o secreta, se deber hacer utilizando mecanismos que
otorguen servicios de confidencialidad e integridad.
Si la difusin se hace en formato electrnico, mediante la entrega de algn dispositivo de alma-
cenamiento (disco duro, pendrive, CD, DVD, u otro) y es informacin clasificada como confi-
dencial o secreta, se deber hacer utilizando mecanismos que otorguen servicios de integri-
dad y de confidencialidad.

Pgina 172

Si la difusin se hace en papel y es informacin clasificada como confidencial o secreta, se
deber hacer de forma tal que el contenedor de dicha informacin (por ejemplo: sobre, bibliora-
to, carpeta) ofrezca los mecanismos para detectar una eventual violacin (lacrados, cierres de
una uso solamente) y que por lo tanto la tanto la integridad como la confidencialidad podran
estar amenazadas.
Si la informacin que se difunde es para el uso en una investigacin judicial (previa recepcin
de un Oficio J udicial), se le debe dar el tratamiento explicitado para la informacin clasificada
como confidencial o secreta y adems, se debe anunciar previamente al Responsable Legal
del Centro y al Director Ejecutivo del Centro quienes debern otorgar su consentimiento para
realizarlo. En el caso de ser informacin en formato electrnico y mediante la entrega de algn
dispositivo de almacenamiento el proceso de entrega se deber realizar en presencia del Res-
ponsable Legal del Centro quin deber labrar un acta que documente todo lo realizado. Se
debe apoyar la actuacin mediante el registro fotogrfico y/o flmico de todas las acciones invo-
lucradas a la entrega del dispositivo.
Si se trata de informacin ni confidencial ni secreta, se puede difundir por medios que no
aseguren confidencialidad e integridad aunque, para una gestin ordenada, siempre se debe
verificar que la misma ha llegado en tiempo y forma al destinatario deseado.
La entrega de informacin a la prensa deber, previamente, requerir una solicitud por escrito
donde se detalle claramente la informacin solicitada. Dicha solicitud as como el anlisis de la
informacin que se brindar (si corresponde) ser analizada por el Director Ejecutivo del Cen-
tro, el Gerente Operacional, el Responsable de Difusin y el Responsable Legal. La informa-
cin a brindar a la prensa podr ser generada, procesada o recibida, debiendo cumplir los
requisitos anteriormente expresados en cada caso, y se debe registrar toda la actividad.
3.3.4 Propuesta de Poltica de Guarda de la Informacin
Esta seccin documenta una propuesta de Poltica de Guarda de la Informacin de un Centro
de Respuesta a Incidentes de Seguridad Informtica. No se pretende aqu establecer un estn-
dar a seguir pero s establecer aspectos fundacionales que se deben considerar al momento de
establecer lineamientos fundamentales para el almacenamiento de la informacin en un Centro
de Respuesta.
3.3.4.1 Texto de la Propuesta de Poltica de Guarda de la Informacin
3.3.4.1.1 Objetivo
Establecer, para toda la informacin que se almacena el Centro de Respuesta, qu tipos de
proteccin y control se deben implementar.
3.3.4.1.2 Al cance
Comprende a toda la informacin almacenada en el Centro de Respuesta.
3.3.4.1.3 Contenido
Respaldos de la informacin

Pgina 173

Se deben realizar respaldos (back-ups) de toda la informacin almacenada en formato electr-
nico de acuerdo a lo expresado en el Procedimiento de Respaldo de la Informacin. Los res-
paldos deben ser verificados peridicamente siguiendo el Procedimiento de verificacin de
Respaldos de la Informacin.
Los integrantes del Centro de Respuesta debern identificar qu informacin y sistemas son
crticos y determinar qu tipo de sitio de respaldo requiere el Centro. Todo ello deber ser do-
cumentado.
Se entiende por informacin crtica
Se entiende por
aquella que en caso de verse comprometida en cuanto a
alguna de sus propiedades de seguridad, afectara seriamente al dueo de la misma, pudiendo
ser el Centro de Respuesta, alguna organizacin de la Comunidad Objetivo u Otros Centros de
Respuesta.
sistema crtico
En el caso de informacin disponible en papel o en alguna unidad de almacenamiento (disco
duro, pendrive, CD, DVD, u otro) clasificada como confidencial o secreta, es conveniente
que la misma se almacene en una caja fuerte propiedad del Centro, ubicada en su sitio fsico y
cuya combinacin de apertura no est documentada prxima a la misma ni en un lugar fcil-
mente deducible.
aquel que en caso de verse comprometido en cuanto a alguna
de sus propiedades de seguridad, afectara seriamente la operacin del Centro de Respuesta y
por ende, a la Comunidad Objetivo. El respaldo de la informacin y sistemas crticos deber
realizarse de acuerdo a lo expresado en las secciones Informacin Crtica y Sistemas Crti-
cos del Procedimiento de Respaldo de la Informacin y Sistemas Crticos. La informacin debe
ser almacenada de forma tal que el medio de almacenamiento preserve o eleve la clasificacin
de la misma.
La informacin secreta o confidencial almacenada en servidores y estaciones de trabajo del
Centro de Respuesta debe estar almacenada cifrada utilizando algn algoritmo de razonable
confianza.
Dos hashes (realizados con funciones distintas) de cada documento utilizado para la gestin
del Centro de Respuesta debern ser guardados en un dispositivo de almacenamiento de uso
exclusivo colocado dentro de una caja fuerte propiedad del Centro y ubicada en su sitio fsico.
Las notebooks del Centro de Respuesta debern tener todos sus dispositivos de almacena-
miento con todo su contenido cifrado con algn algoritmo de razonable confianza.
Los servidores del Centro de Respuesta debern implementar un sistema de almacenamiento
con redundancia e integridad de los datos almacenados.
Toda la informacin vinculada a cada incidente gestionado en el Centro de Respuesta deber
ser retenida, al menos tres aos a partir de la apertura del mismo.

Pgina 174

CAPITULO 4.1

Polticas de Gestin de
Riesgos en un Centro de
Respuesta

Pgina 175


NOMBRE DOCUMENTO: Polticas de Gestin de Riesgos en un Centro de Res-
puesta.

FECHA DE CREACIN: Argentina, Octubre de 2009.

AUTOR: Ing. Lorena Ferreyro.




Resumen.
En estos ltimos aos, se ha evidenciado una tendencia en las mejores prcticas de
seguridad de la informacin, a darle un mucho mayor nfasis a la importancia de la
gestin de riesgos como pilar para facilitar, ordenar y mejorar la gestin de la seguri-
dad.

Quizs el ejemplo ms representativo de ello sea la evolucin de las normas ISO
17799:1 e ISO 17799:2 a las normas ISO 27001 y 27002 entre los aos 2005 y 2007.
Si bien las normas ISO 17799 eran normas de seguridad de la informacin, no aborda-
ban la temtica de la gestin de riesgos. En cambio, la ISO 27001 remarca la necesi-
dad de comenzar la gestin de la seguridad con una adecuada gestin de los riesgos
de seguridad existentes en toda organizacin.

Este es el motivo por el cual resulta necesario que los CERTs, como toda organizacin,
gestione sus riesgos en materia de seguridad de la informacin. Es por ello que el pre-
sente material se enfoca a presentar la problemtica y proponer una metodologa para
la gestin de los riesgos en los CERTs.

Pgina 176

Objetivos

Crear conciencia de los riesgos a los que se enfrentan los CERTs en materia
de seguridad de la informacin.

Transmitir la importancia de la gestin de riesgos para la gestin de la segu-
ridad de la informacin.

Introducir al proceso de gestin de riesgos de seguridad.

4.1.1 Introduccin
Hoy en da se puede decir que la informacin conduce el mundo. Todas las organizaciones ne-
cesitan informacin para funcionar, para prestar sus servicios, para generar beneficios, para
progresar, etc. Es por ello que se entiende que la informacin se ha convertido en un ACTIVO
ms de las organizaciones. As como existen otros activos, como ser los inmuebles, las maqui-
narias, el mobiliario, etc., la informacin debe entenderse tambin como un activo. Y es ms, la
informacin es uno de los activos ms valiosos de las organizaciones.

Debido a la importancia y el valor que tiene la informacin para las organizaciones, es que se
ha convertido en uno de los blancos ms elegidos a la hora de los ataques. Ya sea una organi-
zacin o un individuo mal intencionado, puede querer hacerse de informacin til de terceros
que les pueda generar algn beneficio. As es como hoy sufrimos ataques como el espionaje
industrial, el robo de informacin, el robo de identidad, etc.

Pero la informacin no slo es vulnerable a ser divulgada, sino que tambin puede sufrir modi-
ficaciones indebidas, ocasionando que sta deje de ser confiable e ntegra. Y por ltimo, tam-
bin es posible que la informacin sufra ataques a su disponibilidad. Como se dijo, la informa-
cin es un activo de mucho valor, pero si no se encuentra disponible en tiempo y forma para
quienes la necesitan, es como si no se contara con ella. A veces, la falta de disponibilidad de la
informacin puede causar grandes perjuicios a una organizacin (ej.: la cada de su sitio web).
Esto es aprovechado en ocasiones por personas mal intencionadas que ocasionan denegacio-
nes de servicio a la informacin de una organizacin con el objeto de causarle algn dao.

En definitiva lo que se ha mencionado hasta ahora no es ni ms ni menos que las tres cualida-
des esenciales que deben ser preservadas de la informacin:

CONFIDENCIALIDAD: garantizar que la informacin sea accedida slo por personas
autorizadas

INTEGRIDAD: garantizar que la informacin sea modificada slo por personas autori-
zadas y de la forma autorizada

DISPONIBILIDAD: garantizar que la informacin se encuentre disponible en tiempo y
forma para quienes la requieran (y se encuentren autorizados)

Pgina 177

Cualquiera de estos principios puede ser vulnerado, ya sea por un ataque deliberado, como por
un evento accidental. Ej.: la configuracin insegura de una aplicacin puede permitir la divulga-
cin de informacin procesada por la misma, la corrupcin accidental de una base de datos
puede ocasionar la prdida de la integridad de la informacin almacenada, la falla en un com-
ponente de hardware puede ocasionar la falta de disponibilidad de la informacin gestionada
por dicho equipo.

4.1.1.1 Posibles prdidas
Cuando se habla de incidentes de seguridad que pueden ocurrir, la primera pregunta que surge
es cules son las posibles prdidas? Todo incidente de seguridad, ya sea intencional u oca-
sional trae aparejado una prdida que puede variar en magnitud. Si bien los CERTs son equi-
pos de respuesta a incidentes de seguridad que se producen en su rea de cobertura, ellos
mismos no estn exentos de padecer incidentes de seguridad en su propia estructura.

Las prdidas asociadas a un incidente de seguridad pueden estar asociadas a activos tangibles
o intangibles, esto es:

Prdida de imagen: podra darse por ejemplo si un CERT es vctima de un Deface-
ment, es decir, la modificacin arbitraria del contenido de su sitio web.

Prdida de confiabilidad: podra darse si la base de datos de un CERT, donde se al-
macena informacin de las organizaciones a las que presta servicio se corrompe. Esto
podra dificultar la gestin de incidentes que fuesen reportados posteriormente, lo cual
afectara la confiabilidad de las organizaciones hacia el CERT.

Prdida de econmica: un caso de robo de equipamiento, en donde un tercero consi-
gue hacerse de componentes del CERT implicara una prdida de dinero (adems de la
prdida y divulgacin de informacin del CERT, lo cual causara tambin otro tipo de
prdidas).

Incumplimiento legal: si un tercero mal intencionado lograra acceder a las bases de
datos de un CERT, donde se almacenan datos de incidentes reportados por las organi-
zaciones, y divulgara dicha informacin, se estara violando la Ley de Proteccin de Da-
tos Personales. Esto adems estara acarreando prdidas econmicas, debido a las
multas severas previstas en la ley y prdida de confiabilidad de las organizaciones.
4.1.1.2 Conceptos iniciales
Antes de ingresar en la temtica de la gestin de riesgos, es preciso definir algunos conceptos
que sern utilizados con frecuencia a lo largo de este curso, ya que representan la base de la
gestin de riesgos.
4.1.1.2.1 Activo de informacin
Se conoce como Activo de una organizacin a todo bien tangible o intangible que sta posee
que puede producir un beneficio. Los Activos de Informacin son aquellos activos de una orga-
nizacin que representan, contienen, almacenan o transmiten informacin. Los activos de in-

Pgina 178

formacin se agrupan en diferentes tipos que se relacionan entre s. Si bien no existe una clasi-
ficacin taxativa de activos, es posible identificar los siguientes:

Funciones de la organizacin
Informacin
Sistemas
Equipamiento
Instalaciones
RRHH

4.1.1.2.2 Amenaza
Evento cuya ocurrencia podra impactar en forma negativa en la organizacin. Las amenazas
explotan (toman ventaja de) las vulnerabilidades. No existe una nica clasificacin de las ame-
nazas, lo importante es considerarlas todas a la hora de su identificacin. A continuacin se
presenta una posible clasificacin:

Eventos naturales: huracanes, terremotos, tormentas de nieve, erupciones volcnicas,
inundaciones, etc.
Eventos terroristas, sabotajes o actos de guerra: bombas, secuestros, ataques qumi-
cos, etc.
Accidentes: explosiones, incendios, cortes de energa u otros suministros, rotura de tu-
beras, desastres nucleares, choques de vehculos, etc.
Otros eventos: errores en dispositivos, prdida de comunicacin, errores en los siste-
mas, errores humanos, vandalismo, etc.
4.1.1.2.3 Vulnerabilidad
Ausencia o debilidad de un control. Condicin que podra permitir que una amenaza se materia-
lice con mayor frecuencia, mayor impacto o ambas. Una vulnerabilidad puede ser la ausencia o
debilidad en los controles administrativos, tcnicos y/o fsicos.

Ej.: Un centro de cmputos que carece de un sistema de deteccin de incendios (ausencia de
un control). Un procedimiento de backup de datos que se encuentra desactualizado (control
dbil).
4.1.1.2.4 Exposicin
Instancia en la cual la informacin o un activo de informacin es susceptible a daarse o per-
derse por el accionar de una amenaza. La exposicin, no significa que el evento que produce la
prdida o dao del recurso est ocurriendo, solo significa que podra ocurrir dado que existe
una amenaza y una vulnerabilidad que sta podra explotar.

Ej.: Los servidores de un centro de cmputos que no cuenta con UPS se encuentran expuestos
a un corte de energa.

Pgina 179

4.1.1.2.5 Probabilidad de ocurrencia
Frecuencia con la cual una amenaza puede ocurrir.

Ej.: Se determina que en cierta zona ssmica puede ocurrir un terremoto cada 2 aos.
4.1.1.2.6 Impacto
Consecuencias que produce un incidente de seguridad sobre la organizacin.

Ej.: Un defacement en el sitio web de una organizacin podra ocasionar una prdida de ima-
gen a la misma.
4.1.1.2.7 Riesgo
Probabilidad de que una amenaza explote una vulnerabilidad, en combinacin con el impacto
que esto ocasiona. Se conoce por riesgo como la funcin que combina la probabilidad de ocu-
rrencia y el impacto de un incidente de seguridad.
4.1.1.2.8 Incidente de seguridad
Un incidente de seguridad es un evento adverso (evento con consecuencias negativas), que
puede comprometer o compromete la confidencialidad, integridad o disponibilidad de la infor-
macin.

Un incidente de seguridad se produce cuando una amenaza explota una vulnerabilidad.

Ej.: Un intruso irrumpe en un sistema de informacin, una inundacin daa los expedientes al-
macenados en el archivo, un usuario ingresa a un sistema con la identidad de otro y efecta
una transaccin que l no tiene permiso para realizar.
4.1.1.2.9 Control Contramedida - Salvaguarda
Cualquier tipo de medida, que permita detectar, prevenir o minimizar el riesgo asociado con la
ocurrencia de una amenaza especfica. Para disminuir el nivel de un riesgo es necesario dismi-
nuir uno o los dos valores que intervienen en su frmula, esto es, impacto o probabilidad de
ocurrencia

Ej.: sistema biomtrico de control de acceso al centro de cmputos, hardening de un servidor,
procedimiento de ABM de usuarios.
4.1.1.3 Relacin entre conceptos
Los activos pueden presentar vulnerabilidades y encontrarse expuestos a amenazas.
Las amenazas explotan vulnerabilidades, ocasionando incidentes de seguridad.
Probabilidad de ocurrencia y el impacto de un incidente de seguridad determinan un ries-
go.
Los riesgos pueden ser mitigados mediante la implementacin de controles.

Pgina 180

4.1.2 Proceso de gestin de riesgos
4.1.2.1 Poltica de gestin de riesgos
Al comenzar un proceso de gestin de riesgos es altamente recomendable definir una poltica.
Una poltica es uno de los documentos que forman parte del esquema normativo de toda orga-
nizacin. Se trata de un documento global, que debe establecer pautas generales para definir
la actividad en cuestin, en este caso, la gestin de riesgos.

A continuacin se detallan algunas caractersticas clave que debe cumplir una poltica de ges-
tin de riesgos:
Alinearse a cualquier poltica existente en el CERT. No debe contradecirse con ninguna
otra poltica existente.
Ser aprobada por la autoridad, debido a su alcance estratgico.
Contemplar como mnimo el siguiente contenido:
Objetivos de la gestin de riesgos
Definicin de niveles aceptables de riesgo
Metodologas a adoptar
Definicin de roles y responsabilidades
4.1.2.2 La gestin de riesgos
La gestin de riesgos es un proceso continuo y cclico. No sirve de mucho realizar un anlisis
de riegos una vez y luego no revisarlo nunca ms, ya que todo en las organizaciones es din-
mico. Cualquier cambio organizacional, ya sea de tecnologa, de recursos humanos, de estruc-
tura, etc., ocasiona modificaciones en el mapa de riesgos de la misma. Es por ello que se apun-
ta a la gestin de riesgos como proceso continuo. La gestin de riesgos incluye el anlisis de
riesgos, pero ste es slo una etapa del ciclo mayor.

La gestin de riesgos se compone de dos fases:

A. Evaluacin de riesgos
A su vez, la evaluacin de riesgos comprende las siguientes tareas:
1. Identificacin de riesgos
2. Anlisis de riesgos

B. Tratamiento de riesgos
A su vez, el tratamiento de riesgos comprende las siguientes tareas:
1. Seleccin e implantacin de tcnica de tratamiento
2. Seguimiento y medicin de resultados

La gestin de riesgos es un proceso cclico que comienza en algn momento pero nunca
finaliza, sino que sigue iterando y repitiendo paso a paso, con el objeto de mejorarse
progresivamente. Por ello es necesario controlar la eficacia de todos los pasos del proceso de
gestin de riesgos para lograr la mejora continua.

Una organizacin se encuentra siempre sometida a cambios. Los cambios pueden ser de
diferentes tipos, por ejemplo:

Pgina 181

- cambios externos: como ser variaciones en las amenazas a los activos de
informacin.
- cambios internos: como ser cambios en su estructura, sus funciones, cambios
tecnolgicos, etc.

Todo cambio debe ser analizado para evaluar cmo afecta al mapa de riesgos existente. Esto
se debe a que un cambio puede modificar los niveles de riesgo existentes, generar nuevos
riesgos o eliminar otros existentes. Esto se debe a la posible variacin de cualquier
componente de riesgo: amenaza, vulnerabilidad, probabilidad de ocurrencia e impacto.

En esto consiste la retroalimentacin del ciclo, ya que cualquier cambio organizacional
ocasionar una nueva evaluacin de los riesgos y una revisin de las medidas de tratamiento.
Asimismo, deben programarse revisiones peridicas, independientemente a los cambios que se
produzcan.
4.1.2.2.1 Evaluacin de riesgos
La evaluacin de riesgos es la primera de las dos fases que componen el proceso de gestin
de riesgos de seguridad. Su objetivo es tomar conocimiento de los riesgos a los que se expone
la organizacin, en materia de seguridad de la informacin.

La evaluacin de riesgos se compone de dos tareas claramente diferenciadas, las cuales se
detallan a continuacin.
4.1.2.2.1.1 Identificacin de riesgos
Para poder analizar los riesgos, primero stos deben ser identificados. Esto consiste en cono-
cer todos los componentes que combinados generan los riesgos.

Identificacin de Activos
El primer componente que debe identificarse son los activos de informacin de la organizacin.
Los activos pueden agruparse en dos grandes conjuntos: tangibles e intangibles. A continua-
cin vemos los ejemplos ms comunes de activos:
Tangibles
Funciones de la organizacin: procesos que se llevan a cabo en la organiza-
cin para cumplir con sus objetivos. Ej.: compras, liquidacin de haberes, gestin con-
table, etc.
Informacin: toda la informacin de la organizacin, en cualquier medio de
almacenamiento como papel, CDs., bases de datos, archivos, etc. Ej.: informacin
contable, informacin estratgica, informacin operativa, etc.
Sistemas: todo el software existente en la organizacin para soportar el de-
sarrollo de sus funciones. Ej.: sistemas de gestin, aplicativos, motores de base de
datos, sistemas operativos, etc.
Equipamiento: todos los componentes tecnolgicos que dan soporte al desa-
rrollo de las funciones de la organizacin. Ej.: servidores, PCs, routers, switches, etc.
Instalaciones: Edificaciones donde se ubica la organizacin, incluyendo el
equipamiento no tecnolgico que permite el funcionamiento de la organizacin. Ej.:
instalacin de refrigeracin, sistemas contra incendios, muebles, etc.
RRHH: miembros de la organizacin.

Pgina 182

Intangibles
Privacidad
Seguridad y Salud de los empleados
Imagen y Reputacin
Continuidad de las actividades
Moral del empleado

Identificacin de dependencias entre activos
Los activos identificados en el inventario no son componentes aislados, sino que deben verse
como parte de una red en la cual existen dependencias entre dichos activos. Por ello aparece
como importante el concepto de dependencias entre activos o la medida en que un activo
superior se vera afectado por un incidente de seguridad en un activo inferior.

Se dice que un activo superior depende de otro activo inferior cuando las necesidades
de seguridad del superior se reflejan en las necesidades de seguridad del inferior. O, dicho
en otras palabras, cuando la materializacin de una amenaza en el activo inferior tiene co-
mo consecuencia un perjuicio sobre el activo superior. Informalmente puede interpretarse
que los activos inferiores son los pilares en los que se apoya la seguridad de los activos
superiores.

Valoracin de activos
Luego de confeccionar el inventario de activos, es preciso evaluar el valor que cada uno de
ellos representa para la organizacin. Esto se debe a que no todos los activos representan el
mismo valor, y esto debe ser conocido para el momento de realizar el anlisis costo-beneficio
de implementar controles sobre dichos activos.
El valor de un activo depende de muchos factores que deben tenerse en cuenta. Algunos de
ellos pueden expresarse en forma cuantitativa, y otros en forma cualitativa. A continuacin se
lista una especie de checklist de aspectos a considerar para determinar el valor de un activo,
tambin denominados elementos de valoracin. Debe tenerse en cuenta que estos puntos no
aplicarn a todos los activos, ya que depende del tipo de activo que se trate:

- Costo de reposicin: adquisicin e instalacin
- Costo de mano de obra (especializada) invertida en recuperar (el valor) del activo
- Lucro cesante: prdida de ingresos
- Dao a la organizacin por prdida de confidencialidad
- Dao a la organizacin por prdida de integridad
- Dao a la organizacin por prdida de disponibilidad
- Capacidad de operar: confianza de los usuarios y proveedores que se traduce en
una prdida de actividad o en peores condiciones econmicas
- Sanciones por incumplimiento de la ley u obligaciones contractuales
- Dao a otros activos, propios o ajenos
- Dao a personas
- Daos medioambientales

El valor puede ser propio del activo, o puede ser acumulado. Se dice que los activos inferiores
en un esquema de dependencias, acumulan el valor de los activos que se apoyan en ellos.

Pgina 183

Muchas veces se decide valorar slo el nivel de Informacin (datos), y obtener el valor de
los activos de los niveles restantes mediante acumulacin.

Identificacin de Amenazas y vulnerabilidades
Los activos identificados pueden presentar vulnerabilidades y estar expuestos a amenazas.
Ambas situaciones deben ser identificadas en esta parte del proceso ya que son la base para la
evaluacin de riesgos.

Como primera medida deben evaluarse las amenazas que pueden afectar a cada uno de los
activos identificados. No todas las amenazas afectan a todos los activos, es ms, en general
para cada tipo de activo existe un conjunto de amenazas relacionadas. Existen catlogos de
amenazas por tipo de activo que resultan de gran utilidad a la hora de identificar las amenazas.
A continuacin se citan algunos ejemplos de amenazas por tipo de activo.

Activo Amenaza
Entorno Desastres naturales
Incendio
Equipamiento Desastres naturales
Incendio
Fallas de hardware
Fallas de administracin
Robo
Sistemas Cdigo malicioso
Fallas de administracin
Intrusin
Informacin Robo
Alteracin
Divulgacin
Destruccin
Funciones de la organi-
zacin
Interrupcin
RRHH Desastres naturales
Incendio
Enfermedades
Huelgas
Ingeniera social

Identificacin de controles
Se debe tener en cuenta que, para que las amenazas se materialicen sobre los activos, stos
deben presentar alguna vulnerabilidad que las amenazas puedan explotar. Si no existen vulne-
rabilidades, entonces el activo no se encuentra expuesto, y por ende, no existir riesgo. Por lo
dicho, resulta necesario analizar las vulnerabilidades que presenta un activo, para as poder
efectuar una relacin: ACTIVO VULNERABILIDAD AMENAZA

Dado que una vulnerabilidad es la inexistencia o la debilidad de un control, resulta necesario en
esta etapa analizar los controles existentes en los activos. Adems, los controles existentes
influirn en la probabilidad de ocurrencia y el impacto de las amenazas, lo cual ser evaluado
ms adelante en el proceso:

Pgina 184

- Probabilidad de ocurrencia: existen controles cuyo objetivo es tratar de evitar que
ocurran incidentes. Se denominan controles preventivos
- Impacto: existen controles que buscan detectar la ocurrencia de incidentes, denomi-
nados controles detectivos, y controles cuyo objetivo es minimizar los efectos de un inci-
dente y recuperarse de los mismos, denominados controles correctivos.
4.1.2.2.1.2 Anlisis de riesgos
Los riesgos son determinados por una combinacin de la probabilidad de ocurrencia y el impac-
to de una amenaza sobre un activo vulnerable. Para poder calcular el nivel de riesgo, es nece-
sario conocer las dos variables que lo determinarn: probabilidad de ocurrencia e impacto.
Determinacin de la probabilidad de ocurrencia de las amenazas
Se trata de la frecuencia con la cual una amenaza puede materializarse en un perodo determi-
nado. El perodo ms comnmente empleado para esta evaluacin es un ao, por lo que debe
estimarse la cantidad de veces que puede ocurrir una amenaza en un ao. Continuando con el
proceso descrito, deben analizarse para cada activo, y para cada amenaza cuntas veces en
un ao podra esta materializarse.

Determinar la probabilidad de ocurrencia no es una tarea simple, ya que como su nombre lo
indica no es algo exacto, sino una estimacin. Existen datos que pueden colaborar en la deter-
minacin de la probabilidad de ocurrencia:
- Informacin histrica de la organizacin: si la organizacin guarda un registro de los
incidentes ocurridos, podr conocer cuntas veces se ha materializado una determinada
amenaza en un plazo determinado
- Informacin estadstica del mercado: existen fuentes de informacin que brindan da-
tos sobre el ndice de ocurrencia de amenazas. Es el caso por ejemplo de los desastres
naturales.
- En el caso de ataques deliberados:
o Motivacin de la fuente de amenaza: la fuente de amenaza es aquello que la
ocasiona, por ejemplo, un intruso es la fuente de amenaza de una intrusin a un sis-
tema. Se estima que si la motivacin de la fuente de amenaza es alta, entonces es
ms probable de que la misma ocurra.
o Capacidades de la fuente de amenaza: se estima que si las capacidades que
debe tener la fuente de amenaza para concretarla son bajas, entonces es ms proba-
ble que la misma ocurra. Por ejemplo, existen actualmente numerosas herramientas
de libre acceso en internet para la intrusin en sistemas, con lo cual las capacidades
que debe tener un intruso son bajas ya que con la ayuda de dichas herramientas pue-
de lograr su cometido. Esto hace que la probabilidad de ocurrencia de las intrusiones
aumente.
o Inversin requerida: se estima que si se requiere de una inversin importante
para efectuar un ataque, entonces es la probabilidad de ocurrencia de dicho ataque
disminuye.
Determinacin del impacto de las amenazas
Se denomina impacto al nivel de dao sobre un activo derivado de la materializacin de una
amenaza. Conociendo el valor de los activos y la degradacin que causan las amenazas, es
posible calcular el impacto que estas tendran para la organizacin.
Existen dos tipos de impacto a calcular: acumulado y repercutido.

Pgina 185

El impacto acumulado se calcula teniendo en cuenta:
- El valor acumulado de un activo: dado por su valor propio y el acumulado de los ac-
tivos que dependen de l
- La degradacin causada por las amenazas a las que se expone el activo

El impacto acumulado es:
tanto mayor cuanto mayor es el valor propio o acumulado sobre un activo.
tanto mayor cuanto mayor sea la degradacin del activo afectado.

Por el contrario, el impacto repercutido se calcula teniendo en cuenta:
- El valor propio del activo
- La degradacin causada por las amenazas a las que se exponen los activos de los
que dependen

El impacto repercutido tambin se calcula para cada activo y por cada amenaza.

El impacto repercutido es:
tanto mayor cuanto mayor es el valor propio de un activo.
tanto mayor cuanto mayor sea la degradacin del activo atacado.
tanto mayor cuanto mayor sea la dependencia del activo atacado.

Clculo del riesgo
El riesgo es una funcin de la probabilidad de ocurrencia y del impacto de una amenaza. El ni-
vel de riesgo es directamente proporcional a la probabilidad de ocurrencia y al impacto, es decir
que si cualquiera de las dos variables aumenta, entonces tambin aumentar el nivel de riesgo.

El riesgo acumulado de un activo se calcula teniendo en cuenta:
- el impacto acumulado sobre un activo debido a una amenaza
- la probabilidad de ocurrencia de la amenaza

El riesgo acumulado se calcula para cada activo y por cada amenaza.

El riesgo acumulado, al calcularse sobre los activos que soportan el peso del sistema de
informacin, permite determinar las salvaguardas de que hay que dotar a los medios de
trabajo: proteccin de los equipos, copias de respaldo, etc.

El riesgo repercutido de un activo se calcula teniendo en cuenta:
- el impacto repercutido sobre un activo debido a una amenaza
- la probabilidad de ocurrencia de la amenaza

El riesgo repercutido se calcula para cada activo y por cada amenaza

El riesgo repercutido, al calcularse sobre los activos que tienen valor propio, permite de-
terminar las consecuencias de las incidencias tcnicas sobre la misin del sistema de in-
formacin. Es pues una presentacin gerencial que ayuda a tomar una de las decisiones
crticas de un anlisis de riesgos: aceptar un cierto nivel de riesgo.

Pgina 186

4.1.2.2.2 Tratamiento de riesgos
Una vez evaluados y conocidos los riesgos, es necesario definir qu se har con cada uno de
ellos. La etapa de conocimiento y evaluacin de los riesgos es tan importante como la de su
tratamiento. Existe un conjunto de alternativas sobre las formas de tratar los riesgos. La organi-
zacin deber evaluar qu alternativa le conviene para tratar cada uno de sus riesgos y forma-
lizar las decisiones tomadas en un Plan de Tratamiento de Riesgos, estableciendo en el mismo
prioridades de implementacin y plazos de cumplimiento.
4.1.2.2.2.1 Seleccin e implantacin de tcnicas de tratamiento
Las formas de tratamiento de riesgos son:

Mitigar el riesgo
Mitigar el riesgo implica implementar controles que reduzcan una de las dos variables, o ambas
a la vez, que determinan el nivel de riesgo, esto es:
- la probabilidad de ocurrencia: por ejemplo, eliminar el material inflamable del centro
de cmputos reducira la probabilidad de que se produzca un incendio.
- el impacto: por ejemplo, contar con un sitio alternativo de procesamiento reducira el
impacto en caso de ocurrir un desastre natural que afecte al sitio primario.
La decisin de qu control implementar debe responder a un anlisis correcto del costo-
beneficio de la implementacin del control.

En lneas generales, una organizacin no debera invertir en un control que resulte ms costoso
que la prdida que pudiera sufrir por no tener dicho control implementado (en el peor de los es-
cenarios).
Anlisis costo-beneficio
Aceptar el riesgo
Los riesgos no pueden ser mitigados totalmente, por lo que en cierta instancia se debe terminar
asumiendo o aceptando ciertos riesgos. Por otra parte, existen ocasiones donde no vale la pe-
na tomar ninguna otra accin dado que la relacin costo-beneficio de tratar el riesgo no lo justi-
fica.
Es por ello que la organizacin debe definir un Nivel de Riesgo Aceptable, de manera que to-
dos los riesgos que se encuentren por debajo de este nivel puedan ser aceptados por la orga-
nizacin. El Nivel de Riesgo Aceptable se define en los mismos trminos que se definen los
niveles de riesgo. La definicin de este nivel es sumamente crtica, ya que el establecimiento
de un nivel inadecuado puede ocasionar prdidas importantes a la organizacin.

Transferir el riesgo
Esta medida de tratamiento involucra a terceras partes, quienes sostienen o comparten una
parte del riesgo. Generalmente hay algn costo financiero asociado a la transferencia de parte
del riesgo a otra organizacin, tal como las cuotas abonadas a los seguros. La transferencia de
un riesgo a otras partes reduce el riesgo original para la organizacin que transfiere.

Evitar el riesgo
Quizs esta sea la opcin menos comn, ya que consiste en no seguir adelante con la activi-
dad que probablemente crea el riesgo (cuando esto sea practicable), de manera que el mismo
ya no exista. Una de las formas ms simples de evitar un riesgo es eliminar el activo que lo
presenta.

Pgina 187

Ocurre en ocasiones que se combinan ms de una estrategia de tratamiento para un mismo
riesgo. Por ejemplo, para el tratamiento del riesgo incendio, se contrata un seguro (transferen-
cia de parte del riesgo) y se implementan sistemas de deteccin y extincin (mitigacin del
riesgo).
Por otra parte, ciertas tcnicas de tratamiento de riesgo pueden servir para tratar ms de un
riesgo a la vez. Por ejemplo, la contratacin de un seguro edilicio puede servir para tratar varios
riesgos causados por diferentes amenazas (incendio, robo, inundacin, etc.).
Luego de definir el Plan de Tratamiento de Riesgos debe calcularse el riesgo residual, es decir,
aquel riesgo remanente luego de haber implementado las tcnicas de tratamiento.
4.1.2.2.2.2 Seguimiento y monitoreo
Una vez tratados los riesgos, es preciso garantizar que se cumple con los objetivos previstos.
Es decir, que cada medida de tratamiento implementada presenta los resultados esperados.
Para ello es necesario efectuar un seguimiento y monitoreo de los riesgos mitigados y
transferidos.

Esto se logra estableciendo mtricas que evalen el desempeo de los controles
implementados y muestren si se logra reducir los riesgos para los cuales se seleccionaron.

Por ejemplo:
Riesgo identificado: incendio del centro de cmputos
Nivel de riesgo inicial: 3 (en una escala del 1 al 5)
Estrategia de mitigacin: Transferencia (mediante seguro contra incendio) y mitigacin
(mediante un sistema de deteccin y extincin de fuego)
Nivel de riesgo residual esperado: 1

En este ejemplo, las mtricas deberan evaluar si el nivel de riesgo residual esperado se est
cumpliendo, por ejemplo, evaluando si se efecta un mantenimiento al sistema de deteccin y
extincin, o si la pliza contra incendio se encuentra actualizada con las recientes
adquisiciones de equipamiento.

El progreso real respecto de los planes de tratamiento de los riesgos provn una medida
importante de desempeo y deberan ser incorporados en el sistema de informacin, medicin
y administracin de desempeo de la organizacin.

En caso de que se detecte alguna insuficiencia en el desempeo de las medidas de
tratamiento, se debern efectuar las correcciones necesarias, esto es, ajustar el
tratamiento o cambiar de estrategia.
4.1.2.3 Documentacin y comunicacin
Debe registrarse en forma adecuada cada etapa del proceso de gestin de riesgos. Deberan
documentarse las hiptesis, mtodos, fuentes de datos, anlisis, resultados y razones para las
decisiones.
Los registros de tales procesos son tiles para:

Demostrar que el proceso es conducido apropiadamente.

Pgina 188

Proveer evidencia de un enfoque sistemtico de identificacin y anlisis de riesgos.
Proveer un registro de los riesgos y desarrollar la base de datos de conocimientos de la
organizacin.
Proveer informacin a los tomadores de decisiones.
Alinearse a lo recomendado por las auditoras.

Los resultados de la gestin de riesgos deben ser comunicados en principio a los tomadores de
decisiones y a las autoridades de la organizacin.
4.1.2.4 Mejora continua
El proceso de gestin del riesgo de seguridad de la informacin debe tender a un enfoque de
mejora continua. En cada iteracin del ciclo deben evaluarse un conjunto de factores con el ob-
jeto de verificar que el proceso:

- Se encuentra alineado con la estrategia de la organizacin
- Resulta de utilidad para la toma de decisiones
- Responde a los requisitos legales y normativos
- Presenta criterios adecuados para el clculo de riesgos
- Cuenta con los recursos necesarios
- Presenta una definicin adecuada de nivel de riesgo aceptable

Asimismo, debern considerarse cualquier oportunidad de mejora detectada en el proceso, con
el objetivo de planificar las modificaciones necesarias al circuito para colaborar en la mejora
continua del mismo.

Pgina 189

CAPITULO 4.2

Gestin de Recursos
Humanos en un CSIRT

Pgina 190


NOMBRE DOCUMENTO: Gestin de Recursos Humanos en un CSIRT.


AUTOR: Ec. Ara Alvez Bou.




Resumen.
El pilar fundamental de una Organizacin, Institucin o Equipo, son las personas que lo consti-
tuyen. Para lograr el xito en las tareas desarrolladas, es indispensable establecer pautas y
procedimientos para el Personal, que se enmarquen dentro de un Programa de Gestin de los
Recursos Humanos. Y si ste, se alinea con el Proceso de Administracin de Riesgos, se ob-
tienen an mejores resultados.

El vnculo laboral comienza a gestarse en el proceso de seleccin de las personas, se estable-
ce en su contratacin, se profundiza con los mecanismos de integracin, capacitacin, motiva-
cin y proteccin, y finaliza al momento de la desvinculacin. Establecer los procedimientos
adecuados para cada una de las instancias, potencia los beneficios del vnculo y minimiza los
riesgos que pueden surgir.

En el presente documento se analiza la importancia del Factor Humano en las Instituciones y
en particular en los CSIRTs, se establecen los perfiles requeridos, diferenciando el Rol Geren-
cial del Tcnico, y se remarca el valor de la Capacitacin, de la Motivacin y de la Proteccin
del personal. Se establecen las Pautas de una Poltica de Gestin de Riesgos y del Plan de
Contingencia relativos los Recursos Humanos. Finalmente se presentan cuatro Procedimientos
considerados fundamentales para la gestin del Personal del CSIRT: de Seleccin, Vincula-
cin, Proteccin de Identidad y Desvinculacin.

Los anexos contienen puntos esenciales para la elaboracin de un Plan de Capacitacin, de
Compromisos de Confidencialidad, de Evaluaciones del Personal, de Actas de Desvinculacin
y de Registro de los Riesgos.

Toda la informacin comprendida en este documento constituye una gua para Gestionar el
staff de un CSIRT y sus Riesgos asociados, sobre la cual cada uno deber realizar la adapta-
cin correspondiente a sus necesidades particulares.

Pgina 191

Objeti vos

Inmediato
Establecer las principales recomendaciones sobre la gestin de los Recursos Humanos que
componen un CSIRT, basadas en las mejores prcticas, para optimizar la prestacin de sus
servicios, disminuyendo los riesgos inherentes al personal que lo integra.

De desarrollo
Implementar un sistema de Gestin del Capital Humano de los CSIRTs, que permita medir su
efectividad y mitigar oportunamente los riesgos asociados.

4.2.1 Introduccin

Es indudable que el componente humano dentro de cualquier Equipo u Organizacin, es esen-
cial para lograr el cumplimiento de los objetivos que procuran alcanzar. Por ello es necesario
adoptar las medidas adecuadas para su administracin.

Dada la naturaleza sensible del servicio que brindan los Centros de Respuesta a Incidentes de
Seguridad Informtica, la buena gestin del personal que lo integra y el desarrollo de vnculos
que promuevan la solidez del Equipo, son fundamentales para su xito.

A travs de un Programa Integral de Gestin del Personal de un CSIRT se pretende superar la
complejidad que traen consigo la libertad de informacin y todos los avances tecnolgicos que
la fomentan, a travs del fortalecimiento de sus miembros.

Todos los aspectos que inciden en el vnculo profesional sern detenidamente analizados,
abarcndose desde el establecimiento de criterios de seleccin del personal, mecanismos de
integracin progresiva y de retencin, de proteccin y de desvinculacin; de modo que en todas
las instancias del proceso laboral, los riesgos asociados a las personas sean controlados.

4.2.2 Importancia del Capital Humano y la Gestin de sus riesgos
As como los riesgos, el personal siempre forma parte de la Organizacin. Cada decisin que
se toma en la Empresa tiene un componente humano; cul opcin es elegida y cmo se lleva a
cabo depende de las personas que participan en ella. Por lo tanto, la gestin de los RRHH de-
be estar integrada al proceso de toma de decisiones, as como tambin al de Administracin de
Riesgos.

Existen tres dimensiones a travs de las cuales el factor humano interviene en el Proceso de
Administracin de los Riesgos. La primera, como una fuente de Riesgos, capaces de materiali-
zarlos a travs de sus propias acciones. stas pueden ser intencionales, por falta de capacita-
cin o debido a otro tipo de errores que no tengan un propsito malicioso. Una segunda dimen-
sin es la del Recurso Humano como vctima de la materializacin de ciertos riesgos, como por
ejemplo la prdida de una vida humana o el dao en su salud. Finalmente, como ejecutores de

Pgina 192

los procedimientos de gestin de Riesgos establecidos, influyen directamente en las decisiones
que se tomen basadas en los Anlisis de Riesgos que realizan.

Es necesario alinear las actividades de gestin del personal y la metodologa de Administracin
del Riesgo a los objetivos de la Institucin, a su misin y valores. Garantizando que la persona
correcta est en el puesto apropiado, que sea entrenada, protegida y recompensada adecua-
damente, incrementa la posibilidad de que tome decisiones ms eficaces; lo que contribuye con
la prevencin de riesgos.

Las siguientes preguntas pueden servir de referencia para iniciar el anlisis de la situacin res-
pecto al personal:
Ha sido contratada la persona correcta para el puesto?
Est la persona apropiadamente calificada, preparada y capaz para realizar la tarea
que se le requiere?
Est la performance de los miembros alineada con la misin, valores y objetivos de la
Institucin?
Est la comunidad satisfecha con el nivel de servicio brindado?
Ha sido provista la correcta direccin y gua al personal para asegurar que ellos en-
tienden las tareas asignadas?
Son los recursos adecuados o apropiados para cubrir las necesidades del rol, inclu-
yendo el entrenamiento?
Es la remuneracin acorde con los niveles adecuados?
Est el personal adecuadamente motivado para hacer las tareas requeridas de la me-
jor manera?

4.2.3 Medidas preventi vas de los riesgos asociados a las personas
A continuacin se plantean diversos aspectos sobre los cuales se puede profundizar, utilizn-
dolos como mecanismos de prevencin de los riesgos asociados al personal:

Anlisis del puesto y descripciones documentadas. Permite determinar claramente las
obligaciones y las habilidades tanto personales como tcnicas requeridas para el pues-
to.
Contratacin, cuyo objetivo es cubrir cada puesto vacante con la persona adecuada. Es
una de las actividades ms difciles, por ello lo ms adecuado es establecer los reque-
rimientos de la forma ms detallada posible y procedimientos de seleccin del personal.
Integracin y Capacitacin. El proceso de integracin es a travs del cual se introduce
al personal en la misin, valores y cultura de la Institucin y su Comunidad. La capacita-
cin es fundamental para brindar los servicios de forma adecuada.
Disciplina, implica darle a cada empleado las Normas, Polticas y Procedimientos utili-
zados en la Organizacin y luego trabajar con l para que los incorpore.
Seguridad, tanto fsica, ambiental y emocional que permitan el desempeo de las tareas
asignadas con el menor nivel de riesgo posible.
Compensacin, incluye la recompensa monetaria como la no monetaria. Deben ser via-
bles para la organizacin as como tambin cumplir con las necesidades del empleado.

Pgina 193

Evaluacin del personal, es necesario que sea continua, en conjunto con el personal,
sobre cmo est desempeando sus tareas en relacin a lo requerido; permitiendo una
instancia de retroalimentacin, en la que se identifiquen aspectos a mejorar y en la que
se intercambien las distintas necesidades y visiones.

4.2.4 Gestin del Personal de un CSIRT
4.2.4.1 Consideraciones generales
El equipo de un CSIRT debe:
Proveer un canal seguro para recibir reportes de incidentes.
Proveer de asistencia a los miembros de su comunidad para el manejo de los incidentes
a la vez de capacitarlos.
Brindar la informacin adecuada y de la manera correcta a las partes involucradas, en
relacin a los incidentes.

El trabajo de un CSIRT es bsicamente la provisin de servicios, siendo imprescindible que
exista confianza en un staff competente y fidedigno. De los mayores retos para un equipo de
Respuesta a incidentes de seguridad informticos es la seleccin del staff. Se podra pensar
que uno de los atributos ms importantes es la experiencia en seguridad de los sistemas y sus
conocimientos tcnicos. Sin embargo, el xito del equipo puede verse comprometido si uno de
sus integrantes se comporta inadecuadamente, degradando la confianza en el equipo. Por ello,
los atributos personales resultan extremadamente importantes para la eleccin de un nuevo
miembro.

Es recomendable contratar personas con menos experiencia tcnica pero con buenas habilida-
des en el trato interpersonal y en la comunicacin, ya que la experiencia la puede adquirir en el
trabajo diario y en base a un sistema de entrenamiento que se haya establecido en el CSIRT.

Se debe considerar tambin el presupuesto que se dispone para el reclutamiento y manteni-
miento de los integrantes de un CSIRT. Los recursos econmicos disponibles, afectan la cali-
dad del equipo ya que de stos dependen los salarios, la capacitacin, la infraestructura, y
otros factores que contribuyen a desarrollo de las actividades del CSIRT. Determinar el nmero
apropiado a trabajar en l, es un balance entre la expectativa de trabajo que existe y las restric-
ciones presupuestales.

Segn expertos en el tema, casi el nico atributo en comn de los CSIRT existentes es que no
cuentan con fondos apropiados, no tienen suficiente personal mientras que s experimentan
una gran demanda de sus servicios

La composicin de un CSIRT vara de equipo en equipo, en funcin de elementos tales como
su misin y objetivos, la naturaleza y el rango de los servicios que ofrece, la disponibilidad de
personal experto, de las tecnologas utilizadas, del tipo de incidentes que se manejan, etc.

La conformacin del Equipo se puede realizar de diversas formas:
Contratar personal dedicado exclusivamente al CSIRT.

Pgina 194

Utilizar personal de sistemas y de redes ya existente.
A travs de tercerizaciones del servicio.
Extensin del grupo por un lapso determinado cuando el flujo de trabajo as lo requiera.

Esta ltima posibilidad contempla las necesidades de contratar personal extra en ocasiones
donde la complejidad amerite la participacin de un experto en un tema puntual, o en momen-
tos en que el nmero de integrantes del CSIRT no pueda cumplir con las demandas que se ex-
perimenten. En este caso hay que realizar consideraciones especiales y tener previsto la im-
plantacin de procedimientos de seguridad adecuados, que reduzcan los riesgos que esto im-
plica, a niveles que sean aceptables.

Visto que la tasa de incidentes no es constante, el xito de un CSIRT usualmente se mide en
referencia a su actuacin durante los tiempos de mayor demanda. Debe haber entonces, capa-
cidad suficiente de personas para manejar efectivamente los incidentes complejos. Un fallo en
esto resultar en perjuicio de la reputacin de todo el grupo.

Cuando el nivel de incidentes a resolver disminuye, existen otras tareas muy importantes y mo-
tivadoras para realizar, tales como el desarrollo de herramientas, preparacin de seminarios,
investigaciones sobre ciertos temas de inters, etc.

Dentro del CSIRT, debe de existir un referente, que cumpla el rol Gerencial, con gran capaci-
dad de liderazgo que, adems de dirigir el trabajo diario del Equipo, gobierne las decisiones
estratgicas, de polticas y procedimientos, de infraestructura y las acciones operativas que as
lo requieran. Nos referiremos a esta figura como el Gerente del CSIRT y lo distinguiremos del
Personal Tcnico.

La habilidad del CSIRT para brindar los servicios necesarios a su comunidad depende de la
calidad, motivacin y gestin de sus integrantes. El CSIRT debe asegurar que:

El staff se selecciona basado en sus mritos, que es administrado y motivado adecua-
damente, que entiende sus responsabilidades y recibe el entrenamiento preciso.
Se evita la discriminacin tanto de gnero como de raza, tanto en la seleccin de los
candidatos como en las oportunidades de crecimiento profesional y/o acadmico dentro
del Equipo.
Se promueve un clima positivo y constructivo dentro del Equipo y en el relacionamiento
de ste con los dems involucrados (la comunidad, otros CSIRTs, proveedores, medios
de comunicacin, etc.).
Que se recompensa adecuadamente, tanto en plazos como en montos, y se utilizan
otros mecanismos de retribucin no monetarios.

Una nota aparte aqu es la consideracin de otro tipo de personal que est vinculado al CSIRT,
como por ejemplo de limpieza, instalaciones, de seguridad, y otros; para quienes se deben es-
tablecer las condiciones de acceso. Su entrada puede ocurrir durante las horas de trabajo del
Equipo o luego de stas. Aqu resultan esenciales llevar a cabo las buenas prcticas de los
miembros del Equipo, tales como no dejar informacin sensible en los escritorios durante su
ausencia, no dejar los equipos abiertos, etc. Un mecanismo adicional de seguridad podra ser

Pgina 195

el impedimento del ingreso del personal ajeno al Equipo fuera del horario de trabajo del mismo,
as se garantiza que hay un miembro presente siempre que un externo acceda a las instalacio-
nes del CSIRT.
4.2.4.2 Capacitacin
Un eslabn fundamental para el desarrollo de un Equipo de Respuesta a Incidentes Informti-
cos es el entrenamiento de sus miembros. Es necesario desde tres perspectivas:

Al personal nuevo, es importante brindarle las herramientas de conocimiento necesarias
para realizar su trabajo.
Al personal que ya est trabajando, para expandir su sapiencia y as generar un crculo
virtuoso de conocimiento que se expanda al resto de los integrantes.
Para estar al da con las ltimas tecnologas y los mecanismos de ataque contra ellas.

La existencia de Plan o Programa de Capacitacin
1

para los miembros del CSIRT contribuye a
la reduccin de los riesgos que se pueden materializar por falta de informacin y entrenamiento
del personal.
En primera instancia, cuando un nuevo miembro ingresa al CSIRT, se lo debe instruir en la Mi-
sin, los Objetivos, las Polticas, los Procedimientos y en el ambiente operacional del equipo.

Iniciacin en:
Temas de confidencialidad y no revelacin de la informacin.
Polticas y Procedimientos de Seguridad Informtica y gestin de Riesgos.
Cdigo del Conducta.
Polticas de uso aceptable.
Cuestiones legales.
Visin general de los procedimientos de respuesta a incidentes.

Temas respectivos a la Organizacin:
Lneas generales de la Comunidad para la cual trabajan.
Historia y Organizacin del CSIRT, as como la misin, los objetivos y valores que se
manejan internamente.
Aspectos legales pertinentes.

Cuestiones Tcnicas:
Herramientas y procedimientos de clasificacin, correo electrnico y manejo de inciden-
tes.
Comunicaciones seguras.
Incidentes de baja prioridad.
Incidentes con alta prioridad.

1
Ver Anexo 8.1

Pgina 196

Cuestiones de comunicacin y trato con los medios:
Polticas de relacionamiento con los medios.
Comunicacin con la Comunidad y con otros terceros, tanto por va oral como escrita.

Ante el estrs que produce el manejo de informacin sensible, el nuevo integrante puede sen-
tirse abrumado con todo el material recibido en el CSIRT. Es necesario darle el tiempo adecua-
do para que incorpore todo ello y no exponerlo al principio a tareas delicadas.

Es deseable tratar de asegurar que la persona nueva pueda aprender la profesin sin generar
errores de gran costo. Adems de lo ya mencionado, una contribucin a ello sera designar a
un miembro experiente del CSIRT como su instructor, para que le proporcione toda la informa-
cin necesaria, e incluso lo monitoree durante los primeros das, apoyndolo en las tareas que
se le asignen.

Otro mecanismo de integracin a las actividades del Equipo es que dedique un tiempo a la ob-
servacin del manejo de los incidentes por parte de miembros expertos.

Lo referido anteriormente se basa en la idea que cada nuevo integrante realice una adaptacin
progresiva, tanto a nivel personal como tcnico, al Equipo y a sus tareas. Se establece as la
forma en que actuar el nuevo personal, desde un nivel bsico a su llegada para convertirse en
un gestor de incidentes completo, dedicndose a tareas ms complejas.

Es importante que el conocimiento ya adquirido por el Equipo, se organice en Procedimientos y
materiales de estudio, lo que permite resaltar las reas en las que el CSIRT ya ha adquirido
experticia y que los mismos miembros del CSIRT se vuelvan mejores entrenadores.

La Capacitacin es continua, no tiene final ya que debe acompasar los cambios que se van
produciendo a nivel tecnolgico. Debe extenderse el conocimiento adquirido a todo el Equipo,
generando un proceso beneficioso de retroalimentacin y de respaldo en el momento de instruir
a la Comunidad y/o a otros Equipos de Respuesta. Y como una de las formas de prevencin es
el conocimiento, el establecer un Plan adecuado de capacitacin contribuye a disminuir el ries-
go de la materializacin de incidentes informticos.

4.2.4.3 Moti vacin y Retencin del Staff
La baja oferta de personal experto para los CSIRTs, y la alta inversin que se realiza en sus
capacitaciones llevan a considerar seriamente los mecanismos para evitar la posibilidad que
abandonen el Equipo. Una vez que se invirti tiempo y recursos para identificarlo, contratarlo y
entrenarlo, lo ms importante luego es retenerlo.

Las dos razones principales por las que el personal de un CSIRT puede tomar la decisin de
dejar el Equipo son el agotamiento y el bajo salario, si bien tambin influye el ambiente laboral,
la nocin de grupo y pertenencia, las posibilidades de crecimiento personal y profesional. Es en
estas reas donde hay que concentrar esfuerzos para evitar las posibles prdidas.

Pgina 197

Las constantes presiones y el estrs proveniente del manejo de incidentes a diario, puede in-
cluso afectar la vida privada de los miembros del CSIRT. Fcilmente, la rutina en el manejo de
los incidentes se puede hacer aburrida y agotadora, haciendo que se sienta cansancio fsico y
mental, con falta de atencin a los detalles y pudiendo cometer errores costosos.

Para impedir lo agotamiento, las mejores prcticas recomiendan:

Rotacin de tareas relacionadas al trabajo de rutina y al manejo de incidentes.
No ms del 80% del esfuerzo individual dedicado al servicio de manejo de incidentes.
Concurrencia a conferencias tcnicas.
Participacin en grupos tcnicos de trabajo.
Desarrollo y concurrencia a cursos dentro de la empresa.

En lo concerniente al salario, es necesario hacer una evaluacin costo beneficio, a travs de la
cual se estimen honorarios que sean lo significativamente altos para motivar la permanencia
del experto, pero que no superen los beneficios que sta otorga.

Por otra parte, los equipos que logran mayor xito son aquellos cuyo ambiente laboral es posi-
tivo, donde existen instancias de dilogo y se construye la identidad del grupo, y los tiempos
permiten tanto el desempeo laboral como la vida social y de ocio. Tambin es importante que
cada uno sienta que lo que hace aporta valor.

Encuestas peridicas al personal y charlas individuales entre el Gerente del CSIRT y los res-
tantes integrantes, son necesarias tanto para evitar potenciales problemas o para detectarlos
tempranamente.

Cuando la situacin lo permite, es sumamente motivadora la posibilidad de que el staff destine
parte de su tiempo trabajando en proyectos, investigando nuevas tecnologas, escribiendo, par-
ticipando en workshops o sesiones de entrenamiento, desarrollando herramientas de software
que sean tiles para el equipo o la comunidad o haciendo otro tipo de investigacin que los
pueda desviar de las tareas del da a da.

Lo planteado en este, punto son elementos que conducen a la disminucin del Riesgo de
prdida del personal capacitado, un evento no menor para un CSIRT.

4.2.4.4 Mecanismos de Proteccin del Personal
Proteger al personal, significa salvaguardar y promover la integridad del trabajador en relacin
con la labor que realiza, y est profundamente influida por tres grupos de condiciones:

Condiciones ambientales de trabajo: Son las circunstancias fsicas que cobijan al em-
pleado en cuanto ocupa un cargo en la organizacin. Es el ambiente fsico que rodea al
empleado mientras desempea su cargo.
Condiciones de tiempo: duracin de la jornada de trabajo, horas extras, perodos de
descanso, guardias.

Pgina 198

Condiciones sociales: Son las que tienen que ver con el ambiente o clima laboral y con
el respaldo Gerencial en las decisiones.

El Riesgo de trabajo es entendido como la posibilidad de que, al realizar una tarea, sta genere
incidentes y/o accidentes, concepto bien importante.

Es parte de la responsabilidad de cualquier Institucin cuidar a sus empleados, protegerlos de
accidentes y asegurndoles un ambiente de trabajo saludable. Las condiciones de trabajo no
deben perjudicar ni fsica, ni moralmente. A travs de Procedimientos de proteccin fsica, am-
biental y de identidad
2

se puede respaldar a los miembros del Equipo. Su seguridad debe ser
meticulosamente planificada.
Durante la gestin de los incidentes, los integrantes del CSIRT, en su comunicacin con la Co-
munidad o con otros involucrados, deben realizar indicaciones. A partir de stas, pueden surgir
malos entendidos y errores, con resultados adversos; por lo que se hace necesario establecer
mecanismos de proteccin de identidad para los miembros del CSIRT.

En todo el Equipo, e Institucin a la que responde, se debe fomentar una cultura de seguridad
y prevencin de riesgos, que conduzca a alcanzar altos niveles de productividad y una conse-
cuente eficiencia en su gestin. Partiendo de la idea de prevenir, se hace necesario promover
conciencia en los miembros del Equipo sobre la prevencin de actos inseguros y de errores
humanos.

Se puede establecer un marco a travs del cual los miembros reporten y resuelvan sus errores,
haciendo nfasis en la solucin y no en el problema. Tales polticas pueden plantear que todos
los eventos complejos requieran una revisin de las acciones por las figuras gerenciales y por
el resto del staff, para determinar qu se puede hacer en el futuro para prevenir su reiteracin.
Esto puede implicar cambios en el corto plazo en los procedimientos, o de largo plazo en el en-
trenamiento. Lo importante es que todos sientan que pueden reportar los problemas sin miedo
a sufrir represalia.

Los controles de seguridad a travs de los cuales se procura evitar fugas de informacin, erro-
res en el manejo de los datos y sistemas, y proteger la confidencialidad de las actividades del
CSIRT, no estn asociados a restricciones en las libertades de los trabajadores sino que son
importantes para el amparo de los mismos.

Principales factores de error humano:
La falta de capacitacin
Condiciones inadecuadas de trabajo tanto ambientales, de tiempo y sociales.
Mal ingreso o mal manejo de la informacin por distraccin y/o agotamiento.
Realizar asunciones incorrectas por insuficiente informacin.
Inadecuada interpretacin de las conclusiones

2
Ver Procedimiento de Proteccin de Identidad de los miembros del CSIRT.

Pgina 199

4.2.5 Poltica Gestin de Riesgos RRHH del CSIRT
Poltica ajustada a la Poltica de Gestin de Riesgos planteada en el captulo 4.1.

4.2.5.1 Objeti vo
Evitar y/o minimizar los riesgos a los que se expone el personal del CSIRT, contribuyendo a
mejorar la eficiencia del Equipo.

4.2.5.2 Al cance
Esta poltica es aplicable a todos los miembros del CSIRT y debe estar alineada con otras di-
rectivas particulares de la Comunidad a la cual brinda sus servicios.

4.2.5.3 Proceso Gestin de Riesgos
El Proceso de Gestin de Riesgos de los RRHH del CSIRT se divide en dos grandes instan-
cias: la Evaluacin de Riesgos y el Tratamiento de los mismos.

Evaluacin de riesgos

Identificacin de Riesgos

- Identificacin de Activos, en este caso nos vamos a referir al Recurso Humano como
activo, en sus tres dimensiones, vctima de un Riesgo, generador del mismo y como
tomador de decisiones dentro del Proceso de Gestin de Riesgos.
- Identificacin de dependencias entre activos, se establecer la red de vinculaciones
entre otros activos y el personal.
- Valoracin de activos, dado que se trata de personas, y por lo tanto los activos ms
crticos, es de gran significancia cualquier riesgo que puedan experimentar o generar.
Por ello es muy importante realizar una correcta valuacin.
- Identificacin de Amenazas y vulnerabilidades, a continuacin se plantea una gua
(no exhaustiva) de factores a analizar para identificar en ellos posibles amenazas y vul-
nerabilidades:
Exigencias de las actividades que se realizan en el puesto de trabajo. Las exi-
gencias de las tareas recogen los requerimientos, normas, procedimientos que
rigen al personal en el desempeo seguro de su trabajo (Cdigo de tica, Polti-
cas de Seguridad, Procedimientos y/o Poltica de Comunicacin, Procedimiento
de Proteccin de identidad, etc.). Adems tambin abarca los requerimientos y
exigencias tcnicas para el uso de los medios de trabajo, herramientas y lugar
fsico, que garanticen la seguridad de las personas en primer lugar y la de los
distintos procesos que se llevan a cabo por el Equipo.
Anlisis del factor humano. Una vez que ste se encuentre desempendose
en determinado puesto de trabajo dentro del CSIRT (luego de haber sido elegido
en un correcto proceso de seleccin de personal), es importante monitorear las

Pgina 200

actividades que realiza y apoyarlo en las dificultades que se le presenten. Es im-
portante aqu considerar las Evaluaciones peridicas del personal.
Anlisis de los medios y las condiciones de trabajo. Los medios de trabajo cons-
tituyen la tecnologa e infraestructura con las que cuenta la persona para la rea-
lizacin de sus actividades y son vulnerables de sufrir siniestros que afecten la
integridad del personal, adems de ser un posible blanco de accin maliciosa
por parte del personal.
Legislacin. Considerar el marco legal en el que se desenvuelve el CSIRT es vi-
tal para su correcto desempeo, y es un gran factor de riesgo el no cumplirlo.
Todas las actividades que estn regidas por ste, deben ser monitoreadas para
garantizar su cumplimiento.
Recursos econmicos. La forma de planificar los recursos, debe seguir al previo
anlisis de la necesidad de los mismos. Es importante saber con qu recursos
se cuentan para distribuir el capital de la manera ms eficiente.
Estimulacin y recompensa del personal. Son factores que permiten disminuir
los riesgos de fraude y abandono por parte del personal, riesgos muy costosos
en caso que se materialicen.
- Identificacin de controles, son todas las acciones que permiten reducir la probabili-
dad y/o el impacto de la materializacin de los riesgos identificados. Estos pueden ser
desde Polticas y/o Procedimientos establecidos para el desarrollo de las actividades del
CSIRT, como instancias de Evaluacin, Dilogo, etc.; que puedan generar instancias de
intercambios entre los miembros del CSIRT para la toma de decisiones adecuada.

Anlisis de riesgos (Ver mecanismos establecidos en el captulo 4.1)

- Determinacin de la probabilidad de ocurrencia de las amenaza. Se trata de la fre-
cuencia con la cual una amenaza puede materializarse en un perodo determinado. El
perodo ms comnmente empleado para esta evaluacin es un ao, por lo que debe
estimarse la cantidad de veces que puede ocurrir una amenaza en un ao. Continuando
con el proceso descrito, deben analizarse para cada activo, y para cada amenaza cun-
tas veces en un ao podra esta materializarse
- Determinacin del impacto de las amenazas. Se denomina impacto al nivel de dao
sobre un activo derivado de la materializacin de una amenaza. Conociendo el valor de
los activos y la degradacin que causan las amenazas, es posible calcular el impacto
que estas tendran para la organizacin.
- Clculo del riesgo. El riesgo es una funcin de la probabilidad de ocurrencia y del im-
pacto de una amenaza. El nivel de riesgo es directamente proporcional a la probabilidad
de ocurrencia y al impacto, es decir que si cualquiera de las dos variables aumenta, en-
tonces tambin aumentar el nivel de riesgo.

Tratamiento de riesgos
Seleccin e implantacin de tcnica de tratamiento
- Mitigar el riesgo. En este caso se busca reducir la probabilidad y/o el impacto del ries-
go asociado de manera que el nivel de riesgo residual sea aceptable.
- Aceptar el riesgo. El riesgo se considera tolerable en su forma y exposicin actual, y
no se toma ninguna accin particular al respecto (o se mantienen los controles existen-

Pgina 201

tes). Esto sucede porque dada las caractersticas de los riesgos, que la mayora no se
puede eliminar, es necesario establecer un nivel de tolerancia de ciertos riesgos.
- Transferir el riesgo. Esta respuesta implica compartir cierta parte del riesgo con un ter-
cero, lo cual usualmente toma la forma de un seguro, un contrato de cobertura o la ter-
cerizacin de un determinado proceso o funcin.
- Evitar el riesgo. Esta respuesta es cuando no se vislumbran acciones o controles que
puedan conducir el riesgo dentro de los parmetros aceptables, y se cesan las opera-
ciones que generan esta clase de riesgo.

Seguimiento y medicin de resultados
Una vez definida la respuesta ante los distintos riesgos, es necesario implementar activi-
dades de control para garantizar que dichas respuestas estn operando adecuadamente
en la prctica y de acuerdo a lo establecido. Es decir, que cada medida de tratamiento im-
plementada presenta los resultados esperados.

Documentacin y Comunicacin
A efectos de garantizar una adecuada prctica de Administracin de Riesgo a todo nivel, ser
necesario que la informacin relevante sea identificada, registrada y comunicada.

El contenido de la informacin debe ser adecuado (estar a un nivel correcto de detalle), oportu-
no (estar disponible cuando se requiere), actualizado (ser la ltima informacin disponible),
exacto (datos correctos) y accesible (que quien necesite, pueda obtenerla fcilmente). Adems
de la informacin adecuada, ser necesario contar con mecanismos efectivos de comunicacin
dentro del Equipo y desde el Equipo para los terceros involucrados. Los canales de comunica-
cin se deben ajustar a las necesidades de cada Equipo.

Mejora continua
El proceso de gestin de Riesgos no es una foto de un momento determinado, sino que es un
proceso sistemtico que requiere una evaluacin continua para su mejora. En cada ciclo de
Anlisis de Riesgo se deben analizar los factores que inciden en el proceso, verificando su ali-
neacin con los objetivos del Equipo, su adecuacin y los cambios que requieran realizarse.
Tambin deben considerarse los cambios dentro del mismo proceso, con el objetivo de mejo-
rarlos. Ver Anexo 8.5, Ejemplo de Registro de Riesgos.

4.2.5.4 Roles y Responsabilidades
Si bien los Roles y Responsabilidades de los miembros del CSIRT dependen de cada Centro
en particular (de los lineamientos de la Organizacin a la que pertenecen, de la composicin
del Equipo, etc.), se plantearn a nivel general las correspondientes funciones.

La imagen del CSIRT la representa cada uno de sus miembros, por lo que hay que considerar
que se trabaja en representacin de un Equipo y los riesgos tambin as se han de evaluar.

La figura del rol Gerencial del CSIRT debe dirigir y monitorear todo el proceso de Gestin de
Riesgos y, cuando le corresponda, establecer los criterios de evaluacin y tratamiento. Lo que
debe procurar el Gerente del CSIRT es que la relacin puesto-trabajador sea eficaz, disminu-
yendo as una gran fuente de riesgos. Debe plantearse si existen los puestos de trabajo nece-

Pgina 202

sarios para llevar a cabo los procesos establecidos, si los fines son adecuados para cumplir
con los objetivos del proceso, si los puestos estn pensados para alanzar un rendimiento efi-
caz, si existen mecanismos de medicin del rendimiento y si se realizan diagnsticos, tomn-
dose las medidas preventivas y correctivas necesarias para evitar la materializacin de riesgos.

El resto de los miembros del CSIRT, como responsables de los propios riesgos que ellos pue-
dan generar, deben ser concientes de su trabajo y de lo que ste implica, de realizar correcta-
mente todos los Procedimientos establecidos, cumpliendo con las Polticas y las Normas vigen-
tes. Frente a cualquier duda, deben preguntar y asesorarse.

4.2.5.5 Plan de Contingencia frente a Errores Humanos

Objetivo
Ejecutar acciones oportunas ante cualquier contingencia que se pudiera presentar como con-
secuencia de Errores Humanos de los miembros del Equipo, para salvaguardar a las personas
involucradas, la Comunidad, los bienes y la reputacin del CSIRT.

Al cance
Todos los integrantes del Equipo y los terceros involucrados.

Plan de contingencia
El Plan de Contingencias define las responsabilidades del personal clave y los procedimientos
de respuesta, a partir de la identificacin de los riesgos especficos del personal, con el fin de
minimizar el impacto de su materializacin.

Actividades Especficas a un Plan de Contingencia:
Una vez documentados los riesgos del CSIRT, se deben seleccionar aquellos re-
lacionados al factor humanos que afectaran la continuidad del negocio.
Se deben establecer responsables sobre los mismos, quienes respondern en
caso de que ocurra.
Se establecern tambin Procedimientos asociados a la Proteccin fsica, am-
biental y de identidad del Personal (Procedimientos de Trabajo Seguro).
Se realizarn Inspecciones de seguridad
Se harn Reportes de incidentes.
Se efectuarn charlas de induccin al trabajador nuevo
Se investigar en caso de ocurrir accidentes.
Se realizarn simulacros de emergencias

4.2.6 Procedimientos asociados al Personal del CSIRT
4.2.6.1 Procedimiento de Seleccin del Personal del CSIRT
La contratacin de personal para un CSIRT es solo el comienzo del proceso del establecimien-
to del vnculo laboral; pero por ello no deja de ser un paso fundamental cuyo objetivo es identi-
ficar al candidato ms adecuado.

Pgina 203

Al momento de contratar personal para un CSIRT, es importante haber establecido un proce-
dimiento apropiado para hacerlo, que permita identificar las fortalezas y debilidades de cada
uno de los postulantes, reuniendo la mayor informacin posible para una toma de decisin fun-
damentada. Resulta muy beneficioso el aporte del resto del Equipo en la seleccin del nuevo
miembro, en la medida de lo posible, que existan instancias de relacionamiento con los aspiran-
tes.

Objetivo
Establecer un procedimiento para la seleccin de personal, procurando que este se ajuste a los
conocimientos, habilidades y condiciones especficas exigidas para el puesto de trabajo de
acuerdo a las necesidades del CSIRT.

Al cance
Este procedimiento se aplica a todas las actividades relacionadas con la seleccin del personal
para el CSIRT.
Responsabilidades
Es responsabilidad del Gerente del CSIRT proporcionar al rea de RRHH (en caso de que as
est establecido en la Organizacin) una descripcin del cargo que se necesita ocupar y los
requerimientos que debe cumplir el candidato.

Es responsabilidad del rea RRHH (cuando est as determinado) realizar la convocatoria para
los postulantes y evaluar de cada uno la integridad de la documentacin entregada y el che-
queo de los antecedentes de conducta y laborales. Si la contratacin se realiza a travs de un
tercero, ste ser el responsable de realizar lo establecido para el rea RRHH.

Es responsabilidad del Gerente del CSIRT realizar las instancias correspondientes para selec-
cionar el candidato adecuado.

Descripcin
Cuando surge la necesidad de contratar personal para desempear tareas en el CSIRT, su Ge-
rente debe enviar al rea de RRHH (siempre que as se estipule) un documento de solicitud de
vacante en el que se indique los motivos de necesidad, la descripcin del cargo a ocupar y los
requerimientos tcnicos que debe presentar el candidato; teniendo la viabilidad presupuestaria
para ello.

El rea de RRHH debe encargarse de realizar el llamado correspondiente y de verificar que
cada candidato ha presentado documentacin fidedigna que acredita el cumplimiento de los
requisitos.

Una vez que estn los candidatos que cumplen con lo solicitado, el Gerente del CSIRT junto
con quien estime adecuado comenzar con el Proceso de entrevistas:

Llamada telefnica, a travs de la cual se pueden testear las habilidades de comunica-
cin del candidato.
Planificacin de la entrevista personal, que abarque tanto aspectos tcnicos como per-
sonales.

Pgina 204

Entrevista inicial
o Presentacin del candidato
o Entrevista individual con Gerente del CSIRT
o Entrevista grupal con el resto del equipo, o quienes se considere necesario
Discusin interna sobre el candidato
Chequeo de referencias en caso de ser necesario nuevamente.
Si se estima conveniente, se puede citar otra instancia de reunin, en donde el candida-
to realice una presentacin de un tema tcnico, y as se podr evaluar su capacidad en
esta rea.

Una vez cumplidos todos los pasos y, si identifica el candidato adecuado, se procede con el
Procedimiento de Vinculacin.

Si, a travs de este procedimiento, no se hallara el postulante conveniente, se pueden realizar
modificaciones en algunas de las instancias, en particular en los requerimientos iniciales, que
permita redireccionar la bsqueda hacia las personas correctas.

4.2.6.2 Procedimiento de Vinculacin del Personal al CSIRT
Mencionado el carcter sensible de la informacin que maneja un CSIRT, establecer procedi-
mientos adecuados para administrar tanto el ingreso de nuevo personal al Equipo como su
desvinculacin, es de gran significacin.

De quienes ingresan, se espera que firmen documentos especficos en relacin al CSIRT
(adems de los requeridos por la Comunidad a la que brindan sus servicios), como ser de no
divulgacin de informacin especfica al CSIRT (Compromiso Confidencialidad
3

), de la conecti-
vidad de la red y las interacciones con los medios.
Objetivo:
El objetivo del presente procedimiento es establecer el mecanismo que se debe utilizar en to-
dos los casos de contratacin de empleados que brinden su servicio al Centro de Respuesta a
Incidentes de Seguridad Informticos (CSIRT).

Al cance
Este procedimiento tiene como alcance a todos los empleados que se vinculen al CSIRT.

Responsabilidades
Es responsabilidad del Gerente del CSIRT facilitar al personal que ingresa al Equipo, las Polti-
cas de Seguridad, el Cdigo de tica, las Polticas de Gestin de incidentes, de Acceso a la
Informacin, y todos aquellos documentos necesarios en donde se establezcan sus derechos y
obligaciones; hacindole firmar que comprende lo que en ellos se establece.

3
Ver Anexo 8.2

Pgina 205

Es responsabilidad de los empleados que ingresan al CSIRT, aceptar y acatar por escrito los
estndares establecidos en los documentos recibidos, de acuerdo a lo que cada uno indique.
Es responsabilidad de quien ha elaborado cada documento, responder ante cualquier consulta
de duda al respecto.

Es responsabilidad del Gerente del CSIRT hacer firmar a quien ingresa al Equipo, un Compro-
miso de confidencialidad antes de que acceda a las instalaciones o a informacin especfica, en
el que se establece su obligacin de no divulgacin de la informacin sensible mientras que
desempea sus funciones y tambin luego una vez finalizado el vnculo laboral. Es responsabi-
lidad del nuevo empleado velar por el cumplimiento de las Polticas establecidas. En caso de
violar o ignorar las responsabilidades y estndares definidos en los documentos que recibe,
habilitar a que se ejerzan contra l todas las acciones y recursos legales pertinentes.

Es responsabilidad del Gerente del CSIRT, hacer cumplir el presente procedimiento as como
realizar seguimiento del mismo.

Descripcin
El Gerente del CSIRT, entregar al nuevo empleado los documentos de Poltica, Reglamenta-
cin y el Cdigo de tica, hacindolo firmar una copia de su recibo; a la vez que tambin es
responsable de que firme el Compromiso de Confidencialidad respectivo.

El Gerente del CSIRT ser responsable de la adecuada Capacitacin de los nuevos ingresos,
en temas de funcionamiento del CSIRT, sus procedimientos asociados, seguridad y conoci-
mientos tcnicos.

4.2.6.3 Procedimiento de Proteccin de Identidad de los miembros del CSIRT
Objetivo
El objetivo de este procedimiento es establecer mecanismos de proteccin de la identidad a los
integrantes de Equipo para el desarrollo de su trabajo en forma segura.

Al cance
El mismo se aplica a todos los miembros del CSIRT en la ejecucin de sus tareas.

Responsabilidades
Es responsabilidad de la Organizacin a la cual pertenece el CSIRT brindar condiciones de se-
guridad a todos sus empleados.

Es responsabilidad del Gerente del CSIRT establecer mecanismos de proteccin a todos los
que trabajan en este Centro, acordes con las necesidades.

Es responsabilidad de todos los integrantes del CSIRT cumplir con el procedimiento estableci-
do que procura proteger la identidad en la actuacin a nombre del Centro, cuando las necesi-
dades del caso y su complejidad lo requieran.

Descripcin

Pgina 206

El Gerente del CSIRT analizar los requerimientos de seguridad que tienen sus empleados,
determinando en qu ocasin se amerita el uso del procedimiento de proteccin a la identidad.

Cada empleado del CSIRT velar por la adecuada difusin de la informacin, considerando que
lo que l dice tanto a la Comunidad, a otros CSIRTs y terceros involucrados, puede conducir a
la resolucin del problema pero tambin puede no hacerlo, generando graves consecuencias.
Al momento de emitir su juicio, debe procurar que el mismo quede registrado, de forma de
respaldar su actuacin; y ser cuidadoso en lo que aconseja, pues los resultados pueden ser
muy importantes.

Cuando es necesario, porque el Gerente junto con los tcnicos as lo consideren, se debe
actuar con el amparo sobre su identidad, gestionando el incidente de tal modo que no quede
expuesto quin es la persona que implicada en su resolucin.

En caso de que se produzca un inconveniente, es el Gerente del CSIRT que lo deber
solucionar.

4.2.6.4 Procedimiento de Desvinculacin del Personal al CSIRT
La importancia de este procedimiento radica en los riesgos que conlleva este tipo de instancias,
donde alguien con informacin sensible perteneciente al CSIRT, se desvincula de l.

Los motivos para que eso acontezca, bsicamente son los siguientes:
Renuncia
Despido
J ubilacin
Fatalidad

Si una persona abandona el equipo por su propia voluntad, es de gran valor entender las razo-
nes que llevaron a esa decisin. Por ello, es recomendable realizar una instancia de dilogo, en
la que puedan exponerse los motivos de la partida, los cuales se deben tomar con gran serie-
dad. Si una persona es despedida, deben tenerse en cuenta otros criterios de finalizacin del
vnculo laboral para asegurar que no ocurra inconveniente alguno. Ante la fatalidad de la muer-
te, o una instancia en la que un miembro del Equipo se vea impedido de concurrir a trabajar por
un tiempo significativo, debe tenerse en cuenta la necesidad de contar con mecanismos que
permitan acceder a las tareas que realizaba. En este punto vale destacar que nadie debe ser
imprescindible ni para la Organizacin ni para un Centro de este tipo.

Objetivo
El objetivo de este procedimiento es establecer los pasos a seguir en los casos de empleados
que, por determinado motivo, se desvinculan al CSIRT.

Al cance
El mismo se aplica a todos los empleados que finalicen su vnculo laboral con el CSIRT, ya sea
por decisin propia, por requerimientos legales o por decisin del Gerente del Equipo y o de la
Organizacin.

Pgina 207

Responsabilidades
El Gerente del CSIRT debe llevar el registro y mantenimiento referente a los permisos que se le
han otorgado as como tambin los permisos de acceso a salas restringidas, de manera de ga-
rantizar que una vez finalizadas todas las tareas de inhabilitacin, la persona no tendr ninguna
posibilidad de acceso.

El Gerente del CSIRT debe realizar la solicitud a quien corresponda, de la baja de todos los
permisos a los distintos activos de informacin, aplicaciones, autorizaciones de acceso a salas
restringidas, que el empleado usufructe antes de la desvinculacin.

El Gerente del CSIRT debe solicitarle a la persona que se desvincula, toda documentacin, tar-
jetas de acceso, y otros dispositivos que pertenezcan a la Empresa; siendo responsable tam-
bin de elaborar un Acta donde se registren los elementos devueltos.

Es responsabilidad del Gerente del CSIRT, modificar las contraseas de los sistemas a los que
acceda el involucrado una vez que ste se retire. Es responsabilidad de quien se desvincula
del Equipo, reintegrar todas aquellas credenciales y dispositivos que se le otorgaron para des-
empear su trabajo.

Descripcin
El Gerente del CSIRT le requerir al empleado que cesa en sus funciones, que haga entrega
de toda acreditacin que identifique con el Equipo del CSIRT y de la Organizacin para la que
sirve, as como tambin todas las tarjetas de acceso, llaves y dispositivos que posea. Se ela-
borar un Acta que registre los elementos que han sido devueltos por la persona que se retira
del Equipo
4

, la cual deber estar firmada por las dos partes. En caso de que no puedan reco-
lectarse elementos especficos tales como llaves o tokens, se deber implementar un Plan de
Contingencia adecuado.
Proceder a su vez a gestionar la solicitud de baja de los permisos y derechos de acceso que
el empleado tenga a todas las aplicaciones y accesos a salas en los edificios de la Empresa as
como tambin a modificar las contraseas de los sistemas. En caso de que se trate de un des-
pido, se designar un miembro del Equipo para que escolte a la persona involucrada en su reti-
rada de las instalaciones del CSIRT.

El Gerente del CSIRT le recordar los documentos con los cuales se comprometi desde el
momento de su vinculacin y que esas responsabilidades no cesan frente a su partida.

4.2.7 Anexos

4
Ver Anexo 8.4

Pgina 208

4.2.7.1 Perfiles requeridos
Si bien existen diferentes requerimientos, de acuerdo al cargo que se vaya a desempear de-
ntro del CSIRT, a continuacin se expondrn las caractersticas que deben estar presentes,
dividindolas de acuerdo al perfil Gerencial y al Tcnico.

A su vez, distinguiremos los requisitos en tres grupos: capacidades personales, capacidades
tcnicas y otros requerimientos. El orden en que estn planteadas las mismas no hacen refe-
rencia al nivel jerrquico de las mismas.
4.2.7.1.1 Nivel Gerencial
Integridad. Es un valor especialmente importante para el Gerente del CSIRT, quien de-
be tratar informacin extremadamente sensible y que, en caso de ser utilizada de forma
incorrecta, puede derivar en graves consecuencias.
Capacidades personales:
Capacidad de tomar decisiones. La calidad del servicio que brinde el Equipo, depende
directamente de las decisiones ms crticas que se tomen, las cuales muchas veces
deben realizarse en momentos de estrs.
Capacidad de Liderazgo. Estar al frente de un Centro de Respuesta a Incidentes In-
formticos requiere una personalidad que pueda persuadir a los miembros restantes del
Equipo para realizar las acciones que considera apropiadas.
Capacidad de comunicacin y de relacionamiento con las personas. El CSIRT es un
grupo y debe actuar como tal, por lo que la comunicacin es vital y as tambin los
vnculos interpersonales que en l se generen. El rol promotor del Gerente en este as-
pecto es fundamental. Tambin es quien establece los mecanismos de Comunicacin
en el resto del equipo, para con la Comunidad, en el relacionamiento con los medios y
otros terceros.
Gran resistencia al estrs. Las tareas que se desarrollan en el CSIRT generalmente
estn acompaadas de un alto nivel de estrs, ya sea por lo que involucra el incidente
que se pretende resolver o por los tiempos necesarios para resolverlo. Como es el Ge-
rente el que respalda todas las decisiones (especialmente las ms delicadas), debe te-
ner la capacidad de abstraerse del estrs y tomar las medidas adecuadas.
Capacidad de dirigir y potenciar al resto del Personal. Adems del liderazgo, el Gerente
de un CSIRT debe tener la capacidad de identificar las reas en las que cada uno de los
miembros es mejor y potenciarlos en ello, sabiendo dirigirlos apropiadamente.
Capacidad de coordinacin. Los tiempos que maneja un CSIRT para la resolucin de
incidentes, muchas veces son muy acotados, y la diversidad de las tareas que se deben
cumplir agregan complejidad al tema. Por lo tanto, la figura gerencial debe tener la ca-
pacidad de distribuir en el tiempo las actividades que se deben realizar, de la forma ms
eficiente posible.
Capacidad de delegar. Si bien es importante que el Gerente est involucrado en los te-
mas ms complejos, debe tener la capacidad de delegar tareas y saber discernir cules
son las que requieren esencialmente su participacin y cules no. Para ello debe confiar
en su staff.

Pgina 209

Capacidad de mantener el control. Durante la direccin de un CSIRT, se viven situacio-
nes de gran tensin y que pueden involucrar diversos riesgos, incluso el de vida. Por
ello, es fundamental que el Gerente del CSIRT sea capaz de mantener el control en
momentos tan difciles, para poder brindar el servicio de forma adecuada.
Conocimiento experto que permita dirigir todas las operaciones del CSIRT.
Competencias tcnicas:
Estar actualizado de forma permanente con los avances tecnolgicos y profundizar en
el manejo de los mismos, explorando sus vulnerabilidades.
Amplio conocimiento y experiencia en tcnicas de intrusin.
Saber las distintas tcnicas de comunicacin.
Amplia experiencia laboral en seguridad de las TI.
Otros requerimientos:
Disposicin a trabajar 24 horas al da, 7 das a la semana o de guardia.
Conocimiento de la gestin de riesgos y sus aplicaciones prcticas.
4.2.7.1.2 Nivel Tcnico
Integridad. El personal del equipo debe ser confiable, discreto y capaz de manejar la in-
formacin sensible de manera confidencial; cumpliendo con las normas, las polticas or-
ganizacionales y con los procedimientos establecidos.
Capacidades personales:
Capacidad de tomar decisiones. Los servicios que brinda el CSIRT requieren mayor-
mente respuestas y soluciones rpidas, para ello es indispensable ser capaz de decidir
el modo de actuacin de forma expeditiva.
Flexibilidad, creatividad y espritu de equipo. Los servicios que brinda un CSIRT se ba-
san principalmente en trabajos de equipo, por ello es muy importante el espritu de tra-
bajo colectivo que tengan sus miembros, en el cual cada uno aporte sus experiencias y
conocimientos para el beneficio de todos. El ambiente tecnolgico en el que trabaja un
CSIRT, requiere que sus miembros sean flexibles a los cambios, pudindose adaptar
fcilmente.
Capacidad de comunicacin. Ya que los integrantes del CSIRT en la mayor parte de su
trabajo deben comunicarse con su comunidad, con su propio equipo, otros equipos de
respuesta, con una variedad de expertos tcnicos, y otros individuos con distintos nive-
les de conocimiento tcnico; es imprescindible que sepan hacerse entender. A travs de
una buena comunicacin se asegura que se obtiene y se transmite la informacin nece-
saria; para saber qu est pasando, qu factores son importantes, qu acciones se de-
ben realizar y para transmitir en lo que se ha trabajado y la contribucin que pueden
realizar los involucrados. Capacidad de decir las palabras correctas a las personas co-
rrectas.
o Comunicacin oral
o Comunicacin escrita
Capacidad de realizar trabajo sistemtico, siguiendo polticas y procedimientos, tanto de
la Organizacin como del Equipo de Respuesta. En esto es muy importante que cada
uno comprenda la utilidad y el motivo de cada procedimiento, y que tenga la posibilidad
de aportar su visin en las actualizaciones de los mismos.

Pgina 210

Resistencia al estrs. Deben ser capaces de darse cuenta cuando se ven envueltos en
tales situaciones y comunicarlo al resto del equipo, y tomar las decisiones adecuadas
para recobrar la tranquilidad. Deben mantener la calma en situaciones de tensin.
Mente abierta y ganas de aprender y de capacitarse. Los avances tecnolgicos constan-
tes traen consigo el requerimiento de actualizacin continua. Por ello es que resulta re-
levante esta caracterstica, la que permite acompasar los cambios que suceden y estar
preparados para enfrentarlos.
Capacidad de reconocer errores propios y/o limitaciones. Es importante saber los pro-
pios lmites de cada uno y especialmente en equipos como estos, donde es imprescin-
dible el buen manejo de los incidentes.
Diplomacia. La comunidad con la cual un CSIRT interacta tiene una gran variedad de
objetivos y necesidades, as como tambin diversos niveles de conocimiento y formas
de reaccionar frente a incidentes. Por lo tanto, el staff de un CSIRT debe ser capaz de
anticipar potenciales puntos de confrontacin y responder apropiadamente, mantenien-
do buenas relaciones.
Capacidad de solucionar problemas. Debido al tipo y al volumen de informacin al que
est expuesto un CSIRT, si no hay capacidad de discernimiento y de resolucin de pro-
blemas por parte del staff, ste se puede ver desbordado por la situacin. Para resolver
un problema, debe saber delegar, y solicitar la contribucin de otros; saber requerir ms
informacin de otras fuentes, verificndola y sintetizndola.
Detallista y analtico. El manejo de incidentes de carcter sensible requiere suma aten-
cin a los detalles que lo componen y una mente que analice los acontecimientos paso
a paso; aunque sin perder la simplicidad en la visin.
Capacidad de administrar los tiempos de manera efectiva. Esto permite priorizar entre la
gran diversidad de tareas a las que estn sometidos los miembros de un CSIRT (tales
como analizar, coordinar, responder a los incidentes; preparar presentaciones, capaci-
tarse, coordinar y realizar reuniones).
Capacidad de realizar presentaciones. El alto nivel de intercambio con otras institucio-
nes o personas fuera del CSIRT requiere la capacidad por parte de sus miembros de
realizar presentaciones tcnicas, informar a la Alta Gerencia, presentarse en paneles de
discusin, en conferencias, u otro tipo de exposiciones al pblico.

Conocimiento y entendimiento de los principios bsicos de la seguridad.
Competencias tcnicas:
Conocer vulnerabilidades de los sistemas.
Conocer Internet, su historia, filosofa, estructura y la infraestructura que la sostiene.
Protocolos de Red. Los miembros del CSIRT necesitan tener un bsico entendimiento
sobre los protocolos, sus especificaciones y cmo se utilizan. Tambin deben entender
los tpicos ataques que stos pueden sufrir, as como tambin saber las estrategias para
mitigar o eliminarlos.
Conocimiento sobre los servicios y las aplicaciones de redes.
Entendimiento de los conceptos de seguridad de las redes as como tambin capacidad
de reconocer puntos vulnerables en las configuraciones de las mismas.

Pgina 211

Temas de seguridad de los servidores y sus sistemas operativos. Deben tener expe-
riencia en utilizar los distintos sistemas operativos y familiaridad en el manejo y mante-
nimiento del sistema operativo, como administrador.
Entender los diferentes tipos de ataques mediante cdigos maliciosos.
Para algunos de los miembros se requiere experiencia en programacin de redes y sis-
temas.

Habilidades en el manejo de incidentes, habilidades asociadas a las actividades subyacentes
del da a da.

Deben reconocer las tcnicas de intrusin.
Dada la importancia de la Comunicacin, ya mencionada, los miembros del staff deben
saber las distintas tcnicas de comunicacin.
Ser capaces de realizar Anlisis de Incidentes y de realizar el mantenimiento de los in-
cidentes registrados.

Disposicin a cumplir regmenes de horario extensos cuando as se necesite, incluso
trabajar con turnos de guardia.
Otros requerimientos:
Estabilidad econmica.
Trabajar como testigo experto en caso de que se requiera, si su trabajo implica recolec-
cin de evidencia forense.

No hay un solo grupo de habilidades que sea adecuada al equipo de un CSIRT, stas varan en
funcin de la clase de equipo, de los incidentes que atienden, el tipo de tecnologas que utili-
zan. A modo general se establecieron anteriormente las caractersticas fundamentales.

Una nota muy importante en este tema, es que ningn integrante debe ser indispensable. Para
evitar ello, los integrantes deben cumplir con los mayores requisitos posibles. Lo que es impor-
tante es que el Gerente tenga un suplente, con capacidades similares, que pueda tomar su lu-
gar en caso de que ste no se encuentre disponible.
4.2.7.2 Plan de capacitacin para los miembros del CSIRT
Como se ha mencionado previamente, contar con un Plan o Programa de Capacitacin para
los miembros del CSIRT es un fundamental para constituir un equipo con slidos conocimientos
que pueda atender los requerimientos de su Comunidad de forma adecuada.

Este Programa debe abarcar aspectos de iniciacin, tanto respecto a Normas, Polticas y
Procedimientos del Equipo de la Organizacin de la que depende, as como en aspectos
tcnicos primarios.

Introduccin:
Lneas generales de la Comunidad para la cual trabajan.
Historia y Organizacin del CSIRT, as como la misin, los objetivos y valores que se
manejan internamente.

Pgina 212

Temas de confidencialidad y no revelacin de la informacin.
Cdigo del Conducta.
Polticas de uso aceptable.
Visin general de los procedimientos de respuesta a incidentes y la gestin de Riesgos.
Comunicacin con la Comunidad y con otros terceros, tanto por va oral como escrita.
Polticas de relacionamiento con los medios.

Aspectos Tcnicos:
Herramientas y procedimientos de clasificacin, correo electrnico y manejo de
incidentes.
Comunicaciones seguras.
Incidentes de baja prioridad.
Incidentes con alta prioridad.

Respecto al Manejo de incidentes:
Creacin de un CSIRT
Gestin del CSIRT
Fundamentos del Manejo de Incidentes
Manejo de Incidentes Avanzados

Referente a la Seguridad en las Redes
Visin General de la creacin y la gestin del CSIRT
Seguridad de la Informacin para el Staff Tcnico
Seguridad de la Informacin Avanzada para el Staff Tcnico

Certificaciones:
CISSP: Dominio de conocimiento en tecnologa y gerencia en Seguridad de la Informacin
(www.isc2.org)
CISM: Conocimiento en gerencia de Seguridad de la Informacin. (www.isaca.org)
ABCP o CBCP: Conocimiento en planes y gestin de la continuidad de la operacin.
(www.drii.org)
CISA: Experiencia en auditora de sistemas. (www.isaca.org)
ISO 27001 Lead Auditor: Conocimiento en auditora de sistemas de gestin en seguridad de la in-
formacin SGSI.

Pgina 213

4.2.7.3 Modelo Compromiso de Confidencialidad

En la ciudad de ___________________________, a los __________________ das del mes
de_____________________ de dos mil______________ el Sr./Sra.
___________________________________________________, titular del documento
N_________________, en su carcter de miembro del
____________________________________ o de persona vinculada al mismo cualquiera sea
la naturaleza de su relacin, constituyendo domicilio para todos sus efectos en esta ciudad en
la calle ____________________________________, declara:

PRIMERO: Objeto del presente Acuerdo.-
En virtud de la prestacin de servicios de carcter laboral mencionada, el trabajador puede
tener acceso a instalaciones, dependencias, recursos, sistemas, documentos en soporte papel,
documentos electrnicos, soportes informticos, electrnicos y telemticos susceptibles de
contener informacin considerada confidencial; frente a los que est obligado a mantener su
sigilo, no divulgndola. sta comprender toda la informacin que, por su naturaleza o
contenido, en caso ser expuesta pueda causar cualquier tipo de dao, perjuicio o desventaja
para el CSIRT o la Comunidad a la que pertenece o brinda sus servicios.

SEGUNDO: Obligaciones asumidas por la vinculacin con ___________________________
1- Se prohbe divulgar y se exige mantener estricta confidencialidad respecto de toda la
informacin, documentos, contratos, propuestas y material del CSIRT que se confieran por
escrito o se reciban verbalmente durante las tareas ejecutadas en el cumplimiento de su labor.
2.- Adoptar medidas de seguridad razonables y prudentes para proteger la informacin
reservada, incluyendo sin limitarse a ello, las disposiciones de seguridad que se le instruyan al
firmante, en concordancia con las Polticas y Procedimientos de la Seguridad de la Informacin.

TERCERO: En caso de desvinculacin laboral.-
Tras la terminacin de la relacin labora, cualquiera sea su causa, mantendr su deber de
sigilo y secreto profesional respecto de la informacin confidencial a que haya tenido acceso
durante el desempeo de sus funciones.

CUARTO: Sancin por Incumplimiento.-
En caso de incumplimiento del presente compromiso, el CSIRT queda plenamente facultado
para disponer las medidas legales y reglamentarias que por derecho correspondan.

QUINTO: Definiciones:
a) Informacin Secreta: Datos que tienen asignados el mximo nivel de seguridad limitndose
su acceso dentro de la organizacin, y que requieren por su esencia un alto grado de
integridad. Su divulgacin a terceros no autorizados puede provocar severos impactos a la
operativa e imagen del Equipo y/o Instituciones involucradas.
b) Informacin Confidencial: Datos que tienen asignados un nivel de seguridad menos
restrictivo que los anteriores dentro de la organizacin en razn de ser menos sensibles.
c) Informacin de Uso Interno: Datos de carcter privativo al funcionamiento de la Institucin,

Pgina 214

que en el caso de ser revelados a terceros pueden acarrear daos o ser utilizados por
personas ajenas a la misma, para fines particulares. El tratamiento de estos datos, slo pueden
ser accesibles a los miembros del Equipo o personas vinculadas al mismo que necesitan
conocer o utilizar la informacin de un rea o sector en particular, inherentes a sus funciones.
d) Informacin Pblica: Esta categora incluye cualquier otra informacin que no se encuentre
comprendida en las anteriores, no requiriendo proteccin contra accesos no autorizados.

En seal de conformidad se suscriben dos ejemplares del mismo tenor, en lugar y fecha arriba
indicados.

Firma

Contra firma

C.I. N.

Pgina 215

4.2.7.4 Evaluaciones del Personal
La evaluacin de desempeo es el proceso por el cual se estima el rendimiento global del
empleado, es un procedimiento sistemtico y peridico de comparacin entre el desempeo
de una persona en su trabajo y una pauta de eficiencia (generalmente la descripcin y especifi-
cacin del cargo). Es un sistema de apreciacin del desempeo del individuo en el cargo y de
su potencial de desarrollo. Por lo general, el evaluador suele ser un supervisor o superior que
conozca bien el puesto, generalmente el jefe directo.

Adems de mejorar el desempeo, muchas Instituciones utilizan esta informacin para deter-
minar las compensaciones. Un buen sistema de evaluacin puede tambin identificar proble-
mas. Las personas que se desempean de manera insuficiente pueden poner en evidencia
procesos equivocados de seleccin, orientacin y capacitacin, o puede indicar que el diseo
del puesto o los desafos externos no han sido considerados en todas sus facetas.

Factores que generalmente se evalan:
Conocimiento del trabajo
Calidad del trabajo
Relaciones con las personas
Capacidad de iniciativa
Capacidad de Cooperacin
Capacidad analtica

Objetivos de la evaluacin de desempeo
Para detectar necesidades de instruccin y perfeccionamiento.
Para detectar el potencial de desarrollo del trabajador.
Para aplicar incentivos salariales por buen desempeo.
Para mejorar la comunicacin entre los distintos niveles de mando.
Para auto-perfeccionamiento de los empleados.

Etapas de una Evaluacin.
Definir objetivos
Establecer a quien est dirigido.
Determinar quin es el evaluador y quin revisar la evaluacin.
Definir la Periodicidad.
Elegir el mtodo.
Capacitar al evaluador.
Realizar la Evaluacin.
Analizarla.
Comunicar los resultados.
Utilizar los resultados.

Pgina 216

4.2.7.5 Modelo de Acta de Desvinculacin Laboral
ACTA DE DESVINCULACIN LABORAL
En la Ciudad de _______________________, a los_________________das del mes de
_________________del ao dos mil___________, comparece___________________________,
titular del Documento ______________________, domiciliado/a
en__________________________________________de esta Ciudad, con motivo de la
finalizacin de su vnculo laboral con_____________________________________; para hacer
entrega de los siguientes dispositivos que le haban sido entregados por motivos laborales:
.-
-
-
Conforme con el Acto precedido, y recordando mi obligacin de mantener la confidencialidad de
la informacin manejada durante dos aos ms,

FIRMA______________________________ CONTRAFIRMA______________________

Pgina 217

4.2.7.6 Modelo de Registro de riesgos
DESCRIPCIN DEL RIESGO
- Nombre o ttulo del Riesgo
- Descripcin del Riesgo, incluyendo su alcance.
- Naturaleza del Riesgo, incluyendo detalles de la clasificacin del mismo y su impacto en el
tiempo.
- Agentes involucrados en el Riesgo.
- Responsable de Riesgo.
- Probabilidad e impacto.
- Nivel de exposicin al Riesgo.
- Mecanismos de control existentes.
- Potenciales mejoras a realizar en los mecanismos de control.
- Recomendaciones de Mejora para la gestin del Riesgo.
- Responsabilidades para implementar las mejoras.
- Responsabilidades para auditar el cumplimiento del proceso
Tabla Comparativa de los Riesgos identificados
Descripcin del
Riesgo
Probabilidad Impacto Nivel de
Exposicin
Controles
existentes

Pgina 218

5. Terminologa

Caja Fuerte Una Caja Fuerte es un compartimiento de seguridad que ha sido in-
ventado para que su apertura sea muy difcil para personas no autori-
zadas y as poder guardar elementos de valor. Por lo general son fa-
bricadas en un metal extremadamente duro, por lo que son muy pesa-
das y constan de un sistema de cierre que solo se puede abrir me-
diante claves secretas, y que estas claves pueden cambiarse para
preservar ms an la seguridad.

Canales de Comu-
nicacin Seguros
Se refiere a la transmisin protegida de la informacin compartida en-
tre los diferentes equipos, y no a la utilizacin adecuada de la informa-
cin por los equipos.

CIAC Computer Incident Advisory Capability (CIAC). Es un equipo asesor en
capacidades de incidentes computacionales del Departamento de
Energa de los Estados Unidos.

Criptografa Es el arte o ciencia de cifrar y descifrar informacin mediante tcnicas
especiales y se emplea frecuentemente para permitir un intercambio
de mensajes que slo puedan ser ledos por personas a las que van
dirigidos y que poseen los medios para descifrarlos.

CSIRT Segn CERT/CC, un Computer Security Incident Response Team
(CSIRT). Es una organizacin responsable de recibir reportes de inci-
dentes de seguridad, analizarlos y responderlos.

DCS Distributed Control System, Sistema de Control Distribuido ms cono-
cido por sus siglas en ingls DCS. Es un sistema de control por lo ge-
neral un sistema de fabricacin, proceso o cualquier tipo de sistema
dinmico, en el que los elementos del tratamiento no son centrales en
la localizacin (como el cerebro), sino que se distribuyen en todo el
sistema con cada componente subsistema controlado por uno o ms
controladores. Todo el sistema de los controladores est conectada
por redes de comunicacin y de monitoreo.

DES Data Encryption Standard (DES). Es un algoritmo de cifrado, es decir,
un mtodo para cifrar informacin, y cuyo uso se ha propagado am-
pliamente por todo el mundo. El algoritmo fue controvertido al princi-
pio, con algunos elementos de diseo clasificados, una longitud de
clave relativamente corta, y las continuas sospechas sobre la existen-
cia de alguna puerta trasera para la National Security Agency (NSA).
Posteriormente DES fue sometido a un intenso anlisis acadmico y
motiv el concepto moderno del cifrado por bloques y su criptoanlisis.

DFN-CERT Es una comunidad alemana de equipos de respuesta a emergencias
que se dedica a la investigacin y educacin.

Pgina 219

DNS Domain Name System (DNS), Sistema de Nombre de Dominio. Es un
sistema de nomenclatura jerrquica para computadoras, servicios o
cualquier recurso conectado al internet o a una red privada. Este sis-
tema asocia informacin variada con nombres de dominios asignado a
cada uno de los participantes. Su funcin ms importante, es traducir
(resolver) nombres inteligibles para los humanos en identificadores
binarios asociados con los equipos conectados a la red, esto con el
propsito de poder localizar y direccionar estos equipos mundialmen-
te.

FAQ Frequently Asked Questions (FAQ), es el trmino Preguntas Frecuen-
tes o preguntas ms frecuentes. Se refiere a una lista de preguntas y
respuestas que surgen frecuentemente dentro de un determinado con-
texto y para un tema en particular.

FINGER El servicio Finger (puerto 79, TCP) es un protocolo que proporciona
informacin de los usuarios de una mquina, estn o no conectados
en el momento de acceder al servicio.

Firewall Un Firewall o Cortafuego es una parte de un sistema o una red que
est diseado para bloquear el acceso no autorizado, permitiendo al
mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo
o conjunto de dispositivos configurados para permitir, limitar, cifrar,
descifrar, el trfico entre los diferentes mbitos sobre la base de un
conjunto de normas y otros criterios.

Firma Digital La Firma Digital hace referencia, en la transmisin de mensajes tele-
mticos y en la gestin de documentos electrnicos, a un mtodo crip-
togrfico que asocia la identidad de una persona o de un equipo in-
formtico al mensaje o documento. En funcin del tipo de firma, pue-
de, adems, asegurar la integridad del documento o mensaje.

FTP File Transfer Protocol (FTP), Protocolo de Transferencia de Archivos.
En informtica, es un protocolo de red para la transferencia de archi-
vos entre sistemas conectados a una red TCP (Transmission Control
Protocol), basado en la arquitectura cliente-servidor. Desde un equipo
cliente se puede conectar a un servidor para descargar archivos des-
de l o para enviarle archivos, independientemente del sistema opera-
tivo utilizado en cada equipo. El Servicio FTP es ofrecido por la capa
de Aplicacin del modelo de capas de red TCP/IP al usuario, utilizan-
do normalmente el puerto de red 20 y el 21.

Hardware Es el conjunto de materiales que componen una computadora.

Hosting El alojamiento web (en ingls web hosting) es el servicio que provee a
los usuarios de Internet un sistema para poder almacenar informacin,

Pgina 220

imgenes, vdeo, o cualquier contenido accesible va Web. Los Web
Host son compaas que proporcionan espacio de un servidor a sus
clientes.

Hub Un Hub o concentrador es un equipo de redes que permite conectar
entre s otros equipos y retransmite los paquetes que recibe desde
cualquiera de ellos a todos los dems. Se han dejado de utilizar debi-
do al gran nivel de colisiones y trfico de red que propician.

ICMP Internet Control Message Protocol (ICMP), Protocolo de Mensajes de
Control de Internet. Es el sub-protocolo de control y notificacin de
errores del Protocolo de Internet (IP). Como tal, se usa para enviar
mensajes de error, indicando por ejemplo que un servicio determinado
no est disponible o que un router o host no puede ser localizado.

IDS Intrusion Detection System (IDS), Sistema de Deteccin de Intrusos.
Es un programa usado para detectar accesos no autorizados a un
computador o a una red. Estos accesos pueden ser ataques de habi-
lidosos hackers, o de Script Kiddies que usan herramientas automti-
cas. El IDS suele tener sensores virtuales con los que el ncleo del
IDS puede obtener datos externos (generalmente sobre el trfico de
red). El IDS detecta, gracias a dichos sensores, anomalas que pue-
den ser indicio de la presencia de ataques o falsas alarmas.

IPS Intrusion Prevention System (IPS), Sistema de Prevencin de Intrusos.
Es un dispositivo que ejerce el control de acceso en una red informti-
ca para proteger a los sistemas computacionales de ataques y abu-
sos. La tecnologa de Prevencin de Intrusos es considerada por al-
gunos como una extensin de los Sistemas de Deteccin de Intrusos
(IDS), pero en realidad es otro tipo de control de acceso, ms cercano
a las tecnologas cortafuegos.

NetBIOS NetBIOS, "Network Basic Input/Output System". Es en sentido estricto,
una especificacin de interfaz para acceso a servicios de red, es decir,
una capa de software desarrollado para enlazar un sistema operativo
de red con hardware especfico. Desde su creacin, NetBIOS se ha
convertido en el fundamento de muchas otras aplicaciones de red.

NNTP Network News Transport Protocol (NNTP), Protocolo para la Transfe-
rencia de Noticias en Red. Es un protocolo inicialmente creado para la
lectura y publicacin de artculos de noticias en Usenet.

NTP Network Time Protocol (NTP). Es un protocolo de Internet para sincro-
nizar los relojes de los sistemas informticos a travs de ruteo de pa-
quetes en redes con latencia variable. NTP utiliza UDP como su capa
de transporte, usando el puerto 123. Est diseado para resistir los
efectos de la latencia variable.

Outsourcing La Subcontratacin es el proceso econmico en el cual una empresa

Pgina 221

determinada mueve o destina los recursos orientados a cumplir ciertas
tareas, a una empresa externa, por medio de un contrato. Esto se da
especialmente en el caso de la subcontratacin de empresas especia-
lizadas. Para ello, pueden contratar slo al personal, en cuyo caso los
recursos los aportar el cliente (instalaciones, hardware y software), o
contratar tanto el personal como los recursos.

PCS Personal Comunication System (PCS), Servicio de Comunicacin Per-
sonal. Es el nombre dado para los servicios de telefona mvil digital
en varios pases y que operan en las bandas de radio de 1800 o 1900
MHz.

PEM Formato de archivo empleado para almacenar certificados digitales.

Pendrive Una memoria USB (de Universal Serial Bus; en ingls Pendrive, USB
Flash Drive) es un pequeo dispositivo de almacenamiento que utiliza
memoria flash para guardar la informacin que puede requerir y no
necesita bateras (pilas). La batera era necesaria en los primeros mo-
delos, pero los ms actuales ya no la necesitan. Estas memorias son
resistentes a los rasguos (externos), al polvo, y algunos al agua que
han afectado a las formas previas de almacenamiento porttil-, como
los disquetes, discos compactos y los DVD. En Espaa son conoci-
das popularmente como pendrives o lpices USB.

PGP Pretty Good Privacy (PGP), Privacidad Bastante Buena. Es un pro-
grama desarrollado por Phil Zimmermann y cuya finalidad es proteger
la informacin distribuida a travs de Internet mediante el uso de crip-
tografa de clave pblica, as como facilitar la autenticacin de docu-
mentos gracias a firmas digitales.

POP Post Office Protocol, (POP), Protocolo de la Oficina de Correo. En in-
formtica se utiliza el POP3 en clientes locales de correo para obtener
los mensajes de correo electrnico almacenados en un servidor remo-
to.

Proxy En el contexto de las redes informticas, el trmino Proxy hace refe-
rencia a un programa o dispositivo que realiza una accin en repre-
sentacin de otro. Su finalidad ms habitual es la de servidor proxy,
que sirve para permitir el acceso a Internet a todos los equipos de una
organizacin cuando slo se puede disponer de un nico equipo co-
nectado, esto es, una nica direccin IP.

Red de Confianza Es un ambiente de trabajo donde los usuarios registran las claves de
otros usuarios para poder establecer comunicaciones seguras entre
sus pares.

Router Router. Enrutador, Direccionador, Ruteador o Encaminador. Es un
dispositivo para la interconexin de redes informticas que permite
asegurar el enrutamiento de paquetes entre redes o determinar la ruta

Pgina 222

que debe tomar el paquete de datos.

SCADA Supervisory Control and Data Acquisition (SCADA), Registro de Datos
y Control de Supervisin. Es una aplicacin de software especialmen-
te diseada para funcionar sobre ordenadores (computadores) en el
control de produccin, proporcionando comunicacin con los dispositi-
vos de campo (controladores autnomos) y controlando el proceso de
forma automtica desde la pantalla del ordenador. Tambin provee de
toda la informacin que se genera en el proceso productivo a diversos
usuarios, tanto del mismo nivel como de otros usuarios supervisores
dentro de la empresa (supervisin, control calidad, control de produc-
cin, almacenamiento de datos, etc.).

Segmento de Red Un segmento de red suele ser definido mediante la configuracin del
hardware (comnmente por Router o Switch) o una direccin de red
especfica. Una gran red en una organizacin puede estar compuesta
por muchos segmentos de red conectados a la LAN principal llamada
backbone, que existe para comunicar los segmentos entre s.

Servidor Web Es un programa que implementa el protocolo HTTP (HyperText Trans-
fer Protocol). Este protocolo pertenece a la capa de aplicacin del mo-
delo OSI y est diseado para transferir lo que llamamos hipertextos,
pginas Web o pginas HTML (HyperText Markup Language): textos
complejos con enlaces, figuras, formularios, botones y objetos incrus-
tados como animaciones o reproductores de msica.

SMTP Simple Mail Transfer Protocol (SMTP), Protocolo Simple de Transfe-
rencia de Correo. Es un protocolo de la capa de aplicacin. Protocolo
de red basado en texto utilizado para el intercambio de mensajes de
correo electrnico entre computadoras u otros dispositivos (PDA's,
telfonos mviles, etc.). Est definido en el RFC 2821 y es un estn-
dar oficial de Internet.

Software Es el conjunto de programas que puede ejecutar el hardware para la
realizacin de las tareas de computacin a las que se destina.

Switch Switch o Conmutador. Es un dispositivo digital de lgica de interco-
nexin de redes de computadores que opera en la capa 2 (nivel de
enlace de datos) del modelo OSI. Su funcin es interconectar dos o
ms segmentos de red, de manera similar a los puentes (bridges), pa-
sando datos de un segmento a otro de acuerdo con la direccin MAC
de destino de las tramas en la red.

Telnet Telnet (TELecommunication NETwork) es el nombre de un protocolo
de red (y del programa informtico que implementa el cliente), que sir-
ve para acceder mediante una red a otra mquina, para manejarla re-
motamente como si estuviramos sentados delante de ella. Para que
la conexin funcione, como en todos los servicios de Internet, la
mquina a la que se acceda debe tener un programa especial que re-

Pgina 223

ciba y gestione las conexiones. El puerto que se utiliza generalmente
es el 23.

TFTP Trivial File Transfer Protocol (TFTP), Protocolo de Transferencia de
Archivos Trivial. Es un protocolo de transferencia muy simple seme-
jante a una versin bsica de FTP. TFTP a menudo se utiliza para
transferir pequeos archivos entre ordenadores en una red, como
cuando un terminal X Window o cualquier otro cliente ligero arranca
desde un servidor de red.

Usuario Es la persona que utiliza o trabaja con algn objeto o que es destina-
taria de algn servicio pblico, privado, empresarial o profesional.

VPN RPV Virtual Private Network (VPN), Red Privada Virtual (RPV). Es una tec-
nologa de red que permite una extensin de la red local sobre una red
pblica o no controlada.

Web World Wide Web, Red Global Mundial. Es la forma abreviada de refe-
rirse al conjunto de todas las pginas que pueden consultarse en In-
ternet.

Workflow Workflow, Flujo de Trabajo. Es el estudio de los aspectos operaciona-
les de una actividad de trabajo: cmo se estructuran las tareas, cmo
se realizan, cul es su orden correlativo, cmo se sincronizan, cmo
fluye la informacin que soporta las tareas y cmo se le hace segui-
miento al cumplimiento de las tareas.

Pgina 224

6. Bibliografa
CAPITULO 1

West-Brown, Moira J .; Stikvoort, Don; & Kossakowski, Klaus-Peter. Handbook for Com-
puter Security Incident Response Teams (CSIRTs) (CMU/SEI-98-HB-001). Pittsburgh,
PA: Software Engineering Institute, Carnegie Mellon University, 1998.

Kossakowski, Klaus-Peter. Information Technology Incident Response Capabilities.
Hamburg: Books on Demand, 2001 (ISBN: 3-8311-0059-4).

G. Killcrece et al, Organizational Models for Computer Security Incident Teams
(CSIRTs), Handbook CMU/SEI-2003-HB-001, diciembre 2003.

N. Brownlee; E. Guttman. Expectations for Computer Security Incident Response.
J unio 1998.

Killcrece, Georgia; Kossakowski, Klaus-Peter; Ruefle, Robin; & Zajicek, Mark. CSIRT
Services List. Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon Universi-
ty, 2002.

G. Killcrece et al, Organizational Models for Computer Security Incident Teams
(CSIRTs), Handbook CMU/SEI-2003-HB-001, diciembre 2003.

Kossakowski; Klaus-Peter & Stikvoort, Don. A Trusted CSIRT Introducer in Europe.
Amersfoort, Netherlands: M&I/Stelvio, February, 2000. (see "Appendix E, Basic Set of
Information").

West-Brown, Moira J .; Stikvoort, Don; Kossakowski, Klaus-Peter; Killcrece, Georgia; Ru-
efle, Robin; & Zajicek, Mark. Handbook for Computer Security Incident Response
Teams (CSIRTs) (CMU/SEI-2003-HB-002), 2003.

CAPITULO 2

[1] Grance, Tim; Kent Karen; Kim, Brian; Computer Security Incident Handling Guide. Recom-
mendations of the National Institute for Standards and Technology; NIST; J anuary 2004

[2] Killcrece, Georgia; Kossakowski, Klaus-Peter; Ruefle, Robin; Zajicek, Mark; Organizational
Models for Computer Security Incident Response Teams (CSIRTs); CMU/CEI-2003-HB-001

[3] UNAM-CERT. Taller de creacin de equipos de respuesta a incidentes.

[Kill03-2] G. Killcrece et al, State of the Practice of Computer Security Incident Response
Teams (CSIRTs), Technical report, CMU/SEI-2003-TR-001, ESC-TR-2003-001, octubre 2003.
[West03] West-Brown, Moira J .; Stikvoort, Don; Kossakowski, Klaus-Peter; Killcrece,
Georgia; Ruefle, Robin; & Zajicek, Mark. Handbook for Computer Security Incident Response

Pgina 225

Teams (CSIRTs) (CMU/SEI-2003-HB-002), 2003.
[Certuy06] Misin, Comunidad Objetivo y Servicios CERTUY (Taller-CERTUY-002), 2006

CAPITULO 3.1

[CERT-hb] M. West-Brown, D. Stikvoort, K. Kossakowski, G. Killcrece, R. Ruefle y M. Zaji-
cek, Handbook for Computer Security Incident Response Teams (CSIRTs), abril
2003. En lnea: http://www.cert.org/archive/pdf/csirt-handbook.pdf. ltima visita:
noviembre 2009.
[FIRST] Forum of Incident Response and Security Teams, http://www.first.org. ltima vi-
sita: noviembre 2009

[FIRST-TC] FIRST Technical Colloquia, http://www.first.org/events/colloquia. ltima visita:
noviembre 2009

[ISACA] ISACA, http://www.isaca.org. ltima visita: noviembre 2009

[ISC2] International Information Systems Security Certification Consortium, Inc.,
http://www.isc2.org. ltima visita: noviembre 2009

[PMI] Project Management Institute, http://www.pmi.org. ltima visita: noviembre 2009

CAPITULO 3.2

[CERT03tr] G. Killcrece, K. Kossakowski, R. Ruefle y M. Zajicek, State of the Practice of Com-
puter Security Incident Response Teams (CSIRTs), octubre 2003. En lnea:
http://www.cert.org/archive/pdf/03tr001.pdf. ltima visita: noviembre 2009.
[ISS-CSIRP] Internet Security Systems, Computer Security Incident Response Planning - Pre-
paring for the Inevitable. En lnea: http:// docu-
ments.iss.net/whitepapers/csirplanning.pdf. ltima visita: noviembre 2009.
[RFC2350] N. Brownlee y E. Guttman, Expectations for Computer Security Incident Re-
sponse, junio 1998. En lnea: http://www.rfc-editor.org/rfc/rfc2350.txt. ltima visi-
ta: noviembre 2009.
[RFC4949] R. Shirey, Internet Security Glossary, Version 2, agosto de 2007. En lnea:
http://www.rfc-editor.org/rfc/rfc4949.txt. ltima visita: noviembre 2009.
[SP800-61] K. Scarfone, T. Grance y K. Masone, Computer Security Incident Handling Guide
Revision 1, marzo de 2007. En lnea:
http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf. ltima
visita: noviembre 2009.
[TWri01] T. Wright, How to Design a Useful Incident Response Policy, octubre 2001. En
lnea: http://www.securityfocus.com/infocus/1467. ltima visita: noviembre 2009.

Pgina 226

CAPITULO 3.3

[18044] ISO/IEC TR 18044:2004. Gestin de incidentes de la seguridad de la informa-
cin.

[27001] ISO/IEC 27001:2005. Sistemas de Gestin de la Seguridad de la Informacin
Requisitos.

[27002] ISO/IEC 27002:2005(17799). Cdigo de buenas prcticas para la gestin de la
seguridad de la informacin.

CAPITULO 4.1

ISO/IEC 27005 - Tecnologa de la informacin - Tcnicas de seguridad - Gestin del riesgo de
seguridad de la informacin

NORMA IRAM - ISO/IEC 27001 - Tecnologa de la informacin - Sistemas de gestin de seguri-
dad de la informacin (SGSI) - Requisitos

NORMA IRAM - ISO/IEC 27002 - Tecnologa de la informacin - Tcnicas de Seguridad
Cdigo de prctica para la gestin de la seguridad de la informacin

MAGERIT versin 2
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin

NIST SP 800-30 - Risk Management Guide for Information Technology Systems

CAPITULO 4.2

[Ministerio08] Informe Final para la constitucin de un CSIRT Colombiano- Modelo de
Seguridad- Estrategia de Gobierno en Lnea, 2008.
[RM] Risk Management and the HR Executive-Written by Valerie Frederickson, MS,
CMP.
[RFC235098] RFC2350 - Expectations for Computer Security Incident Response, N. Brownlee,
The University of Auckland, 1998.
[Smi95] Forming an Incident Response Team. Danny Smith. Australian Computer
Emergency Response Team, 1995.
[Castillo] Procedimiento para la gestin de los Riesgos Laborales de forma integrada y con
un enfoque de procesos y su implicacin en los resultados econmicos, en la
calidad de vida laboral y la productividad del trabajo Ing. Lus Alberto Castillo
Rosal

Pgina 227

7. ANEXOS

Manual SP

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Manual SP

Enviado por

Direitos autorais:

Formatos disponíveis

Pgina 1

Proyecto AMPARO: www.proyectoamparo.net

Você também pode gostar